الأخبار التكنولوجية والاستعراضات والنصائح!

ثغرة أمنية في المكونات الإضافية لقالب WordPress تصل إلى أكثر من مليون موقع

ستساعدك المقالة التالية: ثغرة أمنية في المكونات الإضافية لقالب WordPress تصل إلى أكثر من مليون موقع

قوالب المبتدئين – تحتوي المكونات الإضافية Elementor وGutenberg وBeaver Builder Templates من قبل ناشري سمة Astra WordPress على ثغرة أمنية تؤثر على أكثر من مليون موقع ويب. تسمح هذه الثغرة للمهاجم بتحميل نصوص برمجية ضارة، والسيطرة الكاملة على الموقع، ومهاجمة زوار موقع الويب الضعيف.

قوالب المبتدئين — قوالب Elementor وGutenberg وBeaver Builder

تم نشر المكون الإضافي Starter Templates بواسطة Brainstorm Force، صانعي قالب Astra WordPress الشهير. يتيح البرنامج الإضافي للمستخدمين استخدام أكثر من 280 قالب WordPress يساعد في تسريع تطوير موقع الويب.

تم تصميم القوالب لتكون متوافقة مع Elementor وGutenberg وBrizy وBeaver Builder، بالإضافة إلى سمة Astra.

تم تثبيت البرنامج المساعد في أكثر من مليون موقع.

ثغرة أمنية في البرمجة النصية للمواقع المتقاطعة (XSS).

تم اكتشاف المكون الإضافي Starter Templates بواسطة Brainstorm Force من قبل باحثين أمنيين في Wordfence لاحتوائه على نوع من الثغرات الأمنية التي تسمح للمهاجم بتحميل برنامج نصي ضار يتم تخزينه بدوره على موقع الويب نفسه.

تعد ثغرة Stored XSS مزعجة بشكل خاص لأن البرنامج النصي الذي تم تحميله يتم تخزينه على خادم الموقع الذي تمت مهاجمته نفسه.

يصف مشروع أمان تطبيقات الويب المفتوحة (OWASP) غير الربحي مدى خطورة هذا النوع من ثغرة XSS على موقعهم على الانترنت:

“الهجمات المخزنة هي تلك التي يتم فيها تخزين البرنامج النصي الذي تم إدخاله بشكل دائم على الخوادم المستهدفة، كما هو الحال في قاعدة البيانات، أو في منتدى الرسائل، أو سجل الزوار، أو حقل التعليق، وما إلى ذلك.

يقوم الضحية بعد ذلك باسترداد البرنامج النصي الضار من الخادم عندما يطلب المعلومات المخزنة.

الاستيلاء على موقع الويب والهجمات على زوار الموقع

يمكن أن تؤدي الثغرة الأمنية إلى الاستيلاء الكامل على الموقع بالإضافة إلى استخدام موقع الويب الضعيف لشن هجمات على جميع زوار الموقع.

وفقًا للتقرير الصادر عن Wordfence:

“يمكن للمهاجم إنشاء واستضافة كتلة تحتوي على JavaScript ضار على خادم يتحكم فيه، ثم استخدامه للكتابة فوق أي منشور أو صفحة…

يمكن الكتابة فوق أي منشور أو صفحة تم إنشاؤها باستخدام Elementor، بما في ذلك الصفحات المنشورة، بواسطة الكتلة المستوردة، وسيتم بعد ذلك تنفيذ JavaScript الضار الموجود في الكتلة المستوردة في متصفح أي زائر لتلك الصفحة.

يمكن استخدام هذا لإعادة توجيه زوار الموقع إلى مواقع الويب الضارة، أو الاستيلاء على جلسة المسؤول من أجل إنشاء مسؤول ضار جديد أو إضافة باب خلفي إلى الموقع، مما يؤدي إلى الاستيلاء على الموقع.

تم إصلاح البرنامج المساعد لقوالب المبتدئين

تم إخطار ناشري المكون الإضافي Starter Templates بواسطة Wordfence بالثغرة الأمنية وقاموا على الفور بتصحيح المكون الإضافي في الإصدار 2.7.1.

الجمهور سجل التغيير للمكون الإضافي Starter Templates يسجل التصحيح بدقة:

الإصدار 2.7.1 – 7 أكتوبر 2021
– تحسين الأمان: التحقق من صحة عنوان URL للموقع قبل معالجة طلب الاستيراد.
– تحسين الأمان: تم تحديث إذن تحميل الملف الصحيح قبل استيراد الصور.

يعد سجل التغيير الصادق مثل الذي نشرته Brainstorm Force علامة على وجود ناشر عالي الجودة ومن الرائع رؤيتهم منفتحين بشأن إغلاق المشكلات الأمنية.

ينصح Wordfence الناشرين بتحديث المكونات الإضافية الخاصة بهم

يوصي Wordfence بأن يقوم جميع الناشرين الذين يستخدمون هذا المكون الإضافي بالتحديث إلى أحدث إصدار من المكون الإضافي وهو 2.7.5 لأن هذا الإصدار الأحدث يحتوي أيضًا على إصلاحات أخطاء مهمة.

الاقتباس

اقرأ تقرير Wordfence عن الثغرة الأمنية في قالب Starter

أكثر من مليون موقع متأثر بالثغرة الأمنية في البرنامج الإضافي لنماذج المبتدئين