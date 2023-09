ستساعدك المقالة التالية: ثغرة أمنية في حزمة SEO الكل في واحد – استغلال جديد

تم اكتشاف ثغرة أمنية جديدة في All in One SEO Pack. تسمح الثغرة المكتشفة حديثًا للمهاجمين بالتحكم الكامل في موقع الويب باستخدام هجوم البرمجة النصية عبر المواقع.

ثغرة أمنية في البرمجة النصية عبر المواقع

اكتشف الباحثون نوعًا من المشكلات يسمى ثغرة البرمجة النصية عبر المواقع (XSS).

يمكن أن يتضمن ذلك عمومًا واجهة إدخال معرضة للخطر. لذلك، في أي مكان يمكن للمستخدم إدخال المحتوى فيه وتحميله، يجب “تطهير” الصور أو البرامج النصية لمنع تحميل البرامج النصية الضارة.

نقاط الدخول النموذجية يمكن أن تكون التعليقات والنماذج. ولكن هذه الأنواع من الثغرات يمكن أن تؤثر أيضًا على مناطق الموقع المحجوبة عن المستخدمين غير المسجلين.

تؤثر الثغرة الأمنية التي تؤثر على All in One SEO Pack على منطقة من الموقع تتطلب أن يتمتع المستخدم بامتيازات النشر.

ولهذا السبب، تم تصنيفها على أنها ثغرة متوسطة المستوى.

هل حزمة All in One SEO Pack معرضة للخطر؟

نعم، All in One SEO Pack (الإصدارات 3.6.1 وما دونها) معرضة لاستغلال XSS.

يؤثر هذا الاستغلال تحديدًا على منطقة إدخال غير معقمة.

المنطقة المتأثرة هي حقول عنوان SEO ووصف SEO، حيث يمكن للمستخدم الذي قام بتسجيل الدخول ويتمتع بامتيازات النشر تحميل نصوص برمجية ضارة للحصول على حق الوصول الإداري أو السيطرة على الموقع أو إصابة زوار الموقع.

وبقدر ما يبدو ذلك سيئًا، فهذه ثغرة أمنية متوسطة الخطورة لأنها تتطلب من المتسلل الوصول إلى بيانات اعتماد تسجيل الدخول لمستخدم مسجل يتمتع بامتيازات النشر.

ولتحقيق ذلك، قد يحتاج المتسلل إلى استخدام حيل الهندسة الاجتماعية لسرقة بيانات الاعتماد أو الاستفادة من ثغرة أمنية في مكون إضافي أو سمة أخرى.

وفقًا لـ WordFence، هذه هي الطريقة التي يمكن أن تسبب بها الثغرة الأمنية الفوضى:

“نظرًا لأنه يتم تنفيذ JavaScript عندما يصل المستخدم إلى صفحة “جميع المشاركات”، ستكون هذه الثغرة الأمنية هدفًا رئيسيًا للمهاجمين القادرين على الوصول إلى حساب يسمح لهم بنشر المحتوى.

نظرًا لأنه يجب على المساهمين إرسال جميع المنشورات للمراجعة من قبل المسؤول أو المحرر، فقد يكون المساهم الخبيث واثقًا من أن مستخدمًا يتمتع بامتيازات أعلى سيصل إلى منطقة “جميع المنشورات” لمراجعة أي منشورات معلقة.

إذا تم تنفيذ JavaScript الضار في متصفح المسؤول، فيمكن استخدامه لإدخال أبواب خلفية أو إضافة مستخدمين إداريين جدد والاستيلاء على الموقع.

كيف تم اكتشاف الضعف

اكتشف باحثو الأمن في WordFence الثغرة الأمنية في All in One SEO Pack في 10 يوليو 2020 وأبلغوا الناشرين على الفور بالمكون الإضافي.

بدأ الناشرون العمل على تحديث الثغرة الأمنية وأصدروا تصحيحًا لها في 15 يوليو 2020، بعد خمسة أيام.

تلقى المستخدمون المميزون لبرنامج WordFence Security Plugin تحديثًا لقاعدة جدار الحماية في نفس اليوم الذي تم فيه اكتشاف الثغرة الأمنية، وهو 10 يوليو 2020.

تمت الإشارة إلى التحديث الخاص بـ All in One SEO Pack بشكل صحيح في سجل التغيير:

“تم تحسين مخرجات حقول تعريف SEO + إضافة تحسينات إضافية لتعزيز الأمان”

لقطة شاشة لسجل التغيير في حزمة تحسين محركات البحث الكل في واحد

قم بتحديث حزمة SEO الكل في واحد إلى 3.6.2

يتم تشجيع كل من يستخدم All in One SEO Pack على تحديث المكون الإضافي الخاص به إلى الإصدار 3.6.2 على الفور. على الرغم من تصنيف هذه الثغرة على أنها ثغرة أمنية متوسطة الخطورة، إلا أنه لا يزال من الحكمة تصحيح المكون الإضافي بحيث يكون آمنًا.



