ستساعدك المقالة التالية: ثغرة أمنية في المكونات الإضافية للأعضاء في WordPress
تم الإعلان اليوم عن أن “نقاط الضعف الحرجة والشديدة” تؤثر على مكون إضافي لبناء مجتمع WordPress يسمى Ultimate Member، وقد تم تصحيحه. من السهل استغلال هذه الثغرة الأمنية وتمنح المهاجم حق الوصول إلى مستوى المسؤول، مما يعني أنه يمكنه فعل ما يريده بالموقع.
هذه هي الطريقة التي يصف بها Wordfence مدى خطورة هذا الاستغلال:
“تعتبر هذه الثغرة الأمنية حرجة للغاية لأنها تتيح للمستخدمين الذين لم تتم مصادقتهم في الأصل تصعيد امتيازاتهم بسهولة إلى امتيازات المسؤول. بمجرد حصول المهاجم على حق الوصول الإداري إلى موقع WordPress، فإنه قد استولى بشكل فعال على الموقع بأكمله ويمكنه تنفيذ أي إجراء، بدءًا من قطع اتصال الموقع بالإنترنت وحتى إصابة الموقع بالبرامج الضارة بشكل أكبر.
البرنامج المساعد ووردبريس للعضو النهائي
يعد المكون الإضافي Ultimate Member WordPress أحد أشكال المكونات الإضافية لبناء المجتمع الذي يسمح لناشر WordPress بالسماح للقراء بأن يصبحوا أعضاء يمكنهم الحصول على مستويات مختلفة من الوصول بالإضافة إلى التفاعل مع بعضهم البعض اجتماعيًا.
إنه حل يمكن استخدامه أيضًا لتقييد الوصول إلى المحتوى للمستخدمين المسجلين فقط ومنح مستويات مختلفة من امتيازات العضوية، مثل النشر على الموقع.
الضعف النهائي للأعضاء
هناك ثلاثة نواقل قابلة للاستغلال في البرنامج المساعد وجميعها عبارة عن عمليات استغلال لتصعيد الامتيازات. يتم استغلال تصعيد الامتيازات عندما يتمكن المهاجم من زيادة امتيازات المستخدم الخاصة به.
على سبيل المثال، إذا تم تسجيل شخص ما في أحد المواقع كمشترك، فيمكنه القيام بأشياء مثل قراءة المقالات والتعليق عليها.
ولكن من خلال استغلال هذه الثغرة، يمكنهم رفع امتيازات موقعهم من مستوى المشترك إلى مستوى المسؤول، وبالتالي منح أنفسهم القدرة على فعل ما يريدون بالموقع.
يتم استغلال تصعيد الامتيازات المصادق عليها عندما يحتاج شخص ما إلى نوع من المصادقة، مثل دور المشترك.
مع استغلال تصعيد الامتياز غير المصادق، لا يتعين على الشخص أن يكون مستخدمًا مسجلاً.
وقد أثرت هذه الثغرة على المكون الإضافي Ultimate Member، وتضمنت اثنتين من عمليات الاستغلال غير المصادق عليها وواحدة مستغلة تمت مصادقتها.
يتيح استغلال Authenticated Privilege Escalation للمستخدم المسجل ترقية امتيازاته.
يسمح استغلال Unauthenticated Privilege Escalation للمهاجم باستخدام نموذج التسجيل كوسيلة للهجوم.
تعتبر هذه الثغرات خطيرة وتم تصنيفها على أنها حرجة وخطيرة.
وإليك كيف يصفها WordFence:
“…تعتبر هذه الثغرة الأمنية حرجة لأنها تسمح للمستخدمين الذين لم تتم مصادقتهم في الأصل بتصعيد امتيازاتهم مع بعض الشروط. بمجرد أن يتمتع المهاجم بإمكانية وصول مرتفعة إلى موقع WordPress، فمن المحتمل أن يتمكن من الاستيلاء على الموقع بالكامل وإصابة الموقع بالبرامج الضارة.
التحديث على الفور
من المستحسن أن يقوم المستخدمون بالتحديث فورًا إلى الإصدار 2.1.12 من البرنامج الإضافي Ultimate Member WordPress. يحتوي هذا الإصدار على التصحيح الذي يعمل على إصلاح الثغرة الأمنية.
