ستساعدك المقالة التالية: تم الإبلاغ عن الثغرات الأمنية في حزمة All in One SEO Pack
تم الإبلاغ عن ثغرة أمنية في البرمجة النصية عبر المواقع من خلال قاعدة بيانات الثغرات الأمنية في WPScan. تم اكتشاف الثغرة الأمنية بواسطة شركة برمجيات الأمان RipsTech في 25 أكتوبر 2018. ومن غير الواضح ما إذا كان قد تم تصحيح الثغرة الأمنية أم لا.
محدث:
الكل في واحد SEO Pack تم تحديث سجل التغيير الخاص بهم
في وقت ما بعد نشر هذه المقالة، قامت All in One SEO Pack بتحديث سجل التغييرات الخاص بها. أصبح سجل التغيير الآن أكثر وضوحًا حيث تم إصدار التصحيح الأمني في 6 ديسمبر 2018.
هنا تغريدة من 16 ديسمبر 2018 مع ملاحظة أنه تم تحديث سجل التغيير:
فيما يلي لقطة شاشة للإصدار الجديد من سجل التغيير:
لقطة شاشة لسجل التغيير، الذي تم تعديله بعد نشر هذه المقالة، لإظهار أنه تم نشر التصحيح.
كما ترون، فإن سجل التغيير الجديد هذا أكثر وضوحًا فيما يتعلق بالتصحيح الأمني من سجل التغيير الأصلي، الموضح أدناه:
سجل التغيير All in One SEO Pack في وقت كتابة هذه المقالة في 11 ديسمبر 2018. لا يشير سجل التغيير الأصلي هذا إلى أنه تم إصدار تصحيح أمني لثغرة XSS.
لم يُظهر سجل التغيير بتاريخ 6 ديسمبر 2018 تصحيحًا للثغرات الأمنية اعتبارًا من 11 ديسمبر 2018
سجل التغيير هو سجل للتغييرات التي تم إجراؤها على البرنامج في وقت تحديث معين. عندما قامت All in One SEO Pack بتحديث برنامجها في 6 ديسمبر 2018، لم يكن هناك أي ذكر لتصحيح الثغرة الأمنية، كما يمكن رؤيته في لقطة الشاشة أعلاه لسجل التغيير في وقت كتابة هذه المقالة.
يمكن فقط لـ All in One SEO Pack شرح سبب عدم ذكر تصحيح الثغرة الأمنية. على حد علمنا، فقد نسي شخص ما أن يذكر ذلك لمن كتب سجل التغيير وكان ذلك خطأً بريئًا وليس محاولة لمنع نشر الثغرة الأمنية.
لقد أعطيت ناشر البرنامج المساعد فائدة الشك لأنه أغفل عن طريق الخطأ ذكر الثغرة الأمنية في سجل التغيير. ذكرت هذه المقالة بشكل صحيح أنه من غير المعروف ما إذا كان البرنامج المساعد قد تم تصحيحه.
إنها لحقيقة أنه لم يتم ذكر تصحيح الثغرة الأمنية في سجل تغييرات All in One SEO Pack في وقت كتابة المقال.
إنها حقيقة أن المقالة أشارت بشكل صحيح إلى أنه من غير المعروف ما إذا كان البرنامج المساعد قد تم تصحيحه، بناءً على سجل التغيير الذي نشرته All in One SEO Pack نفسها.
ثغرة أمنية في البرمجة النصية عبر المواقع
ثغرة البرمجة النصية عبر المواقع (XSS) هي نوع من الثغرات الأمنية التي تسمح للمهاجم بإدراج رمز في صفحة ويب. يؤدي الرمز إلى اختراق صفحة الويب ويسمح للمهاجم بالحصول على مستويات مختلفة من الوصول إلى موقع الويب و/أو قاعدة بيانات موقع الويب.
هذه لقطة شاشة من موقع RipsTech.com تعرض سطور التعليمات البرمجية التي تحتوي على الثغرة الأمنية.
من الذي يؤثر على الثغرة الأمنية في All in One SEO Pack؟
تؤثر الثغرة الأمنية All in One SEO Pack على مواقع الويب التي تم تمكين الوصول إلى مستوى المساهم فيها على الأقل. يجب أن يتمكن المهاجم أولاً من الوصول إلى حساب مستوى المساهم على الأقل من أجل متابعة هجوم XSS. قد يكون من المفيد التأكد من أن جميع كلمات مرور المستخدم بدءًا من مستوى المساهم وما فوق آمنة.
كيف تعمل الثغرة الأمنية؟
بمجرد أن يتمكن المهاجم من الوصول إلى حساب مستخدم على مستوى المساهم على الأقل، يمكنه إدراج نصوص برمجية في المنشورات التي تقوم بعد ذلك بتنفيذ مجموعة متنوعة من الإجراءات التي يمكن أن تزيد من تعرض موقع الويب للخطر.
هذه هي الطريقة التي يصف بها موقع RipsTech الثغرة الأمنية:
“يستطيع المهاجم إدخال تعليمات برمجية JavaScript عشوائية في منشورات المدونة التي ينشئها وينشرها. إذا فتح أحد المسؤولين مشاركة مدونة ضارة، فسيتم تنفيذ تعليمات برمجية JavaScript شريرة مما يعرض الخادم الهدف للخطر.
هل يوجد تصحيح للثغرة الأمنية؟
محدث:
في وقت نشر هذه المقالة، لم تذكر All in One SEO Pack في سجل التغييرات الخاص بها أنه قد تم إصدار تحديث أمني. فقط بعد نشر هذه المقالة قاموا بتعديل سجل التغيير لإظهار أنه قد تم إصدار تصحيح أمني. وبالتالي، الآن بعد أن قامت All in One SEO Pack بتحديث سجل التغييرات الخاص بها، يمكننا الآن أن نقول بثقة أنه تم إصدار تصحيح للثغرة الأمنية.
التصحيح هو تحديث للبرنامج الذي يعمل على إغلاق الثغرة الأمنية. عندما يقوم مكون WordPress الإضافي بإصلاح ثغرة أمنية، فإنه يصدر تصحيحًا ويلاحظه فيما يسمى ملف .
سجل التغيير هو سجل بجميع التغييرات الموجودة في تحديث WordPress Plugin. إنها فكرة جيدة أن تقوم بمراجعة سجل التغييرات قبل التحديث لأنه يحتوي في بعض الأحيان على معلومات مهمة.
على سبيل المثال، سيحاول بعض مؤلفي المكونات الإضافية تقليل احتواء المكون الإضافي على ثغرة أمنية ولن يقوموا بإبلاغ مستخدميهم رسميًا بمدى إلحاح تحديث المكون الإضافي. سيشير بعض مؤلفي المكونات الإضافية فقط إلى “إصلاح الأمان” ضمن سجل التغييرات الخاص بهم.
ومع ذلك، فإن العديد من مؤلفي المكونات الإضافية يقدمون شرحًا. لذلك من الجيد قراءة سجل التغيير لفهم ما تم تغييره.
وفقًا لشركة برمجيات الأمان RipsTech، لم تستجب All in One SEO Pack للتأكيد على إصدار التصحيح.
تفيد RipsTech أن البائع رد في 25 أكتوبر 2018 بأنه سيحقق في الثغرة الأمنية. وبعد مرور شهر تقريبًا، في 22 نوفمبر 2018، اتصلت شركة الأمن بالمورد مرة أخرى. وفقًا لـ RipsTech All in One SEO Pack لم يرسل ردًا. فيما يلي لقطة شاشة لتقرير الجدول الزمني لـ RipsTech:
تستضيف All in One SEO Pack أ سجل التغيير على موقعهم على الانترنت هنا.
وفقًا لسجل التغييرات الخاص بـ All in One SEO Pack كما تم نشره في 11 ديسمبر 2018، لم تكن هناك أي تحديثات أمنية. لقطة الشاشة أدناه:
هذه لقطة شاشة لسجل التغييرات اعتبارًا من 11 ديسمبر 2018، وهو تاريخ كتابة هذه المقالة. يظهر بوضوح أن All in One SEO Pack لم تشر إلى أنه تم إصدار تصحيح أمني لثغرة XSS. لا يوجد أي ذكر للتصحيح.
محدث
بعد نشر هذه المقالة، تم تغيير سجل التغييرات في All in One SEO Pack لإظهار أنه قد تم إصدار تصحيح للثغرة الأمنية. فيما يلي لقطة شاشة لسجل التغيير الجديد:
لقطة شاشة لسجل التغيير، الذي تم تعديله بعد نشر هذه المقالة، لإظهار أنه تم نشر التصحيح.
ماذا عليك ان تفعل؟
محدث:
تأكد من تحديث All in One SEO Pack إلى الإصدار الأحدث. بعد نشر هذه المقالة، قامت All in One SEO Pack بتحديث سجل التغييرات الخاص بها للإشارة إلى أنه تم إصدار تصحيح الثغرات الأمنية في 6 ديسمبر 2018.
لكي يتمكن المهاجم من استغلال هذه الثغرة الأمنية، سيتعين عليه التحكم في حساب المستخدم بالحد الأدنى من مستوى المساهم على الأقل.
لذلك قد يكون من المفيد تشديد جميع كلمات المرور للتأكد من أنه لا يمكن تخمين أي منها بسهولة. سيساعد ذلك في منع المتسلل من تخمين كلمة المرور.
إذا كنت لا تستخدم بالفعل مكونًا إضافيًا لأمان WordPress، مثل أمن سوكوري أو وردفينس، قد ترغب في التفكير في استخدام واحدة. يمكن لهذه الأنواع من المكونات الإضافية للأمان أن تبطئ هجمات اختراق تخمين كلمة المرور.
شاهد الإعلان الأصلي على RipsTech:
انقر على الرابط أدناه لزيارة “التقويم الأمني” ثم انقر على الرقم 4 في الصف العلوي. سيؤدي ذلك إلى ظهور نافذة منبثقة تحتوي على كافة التفاصيل.
https://www.ripstech.com/php-security-calendar-2018/
اقرأ الإعلان في قاعدة بيانات الثغرات الأمنية في WPScan
https://wpvulndb.com/vulnerabilities/9159
