ستساعدك المقالة التالية: ووردبريس Facebook ثغرة أمنية في المكونات الإضافية للخلاصة تكشف أكثر من 200000 موقع ويب
تم اكتشاف وجود ثغرة أمنية في Smash Balloon Social Post Feed، وهو مكون إضافي لـ WordPress، كشفت عن السماح لمواقع الويب للمهاجم بتحميل نصوص برمجية ضارة. اكتشف الباحثون الأمنيون في Jetpack الثغرة الأمنية وأبلغوا ناشري المكونات الإضافية الذين قاموا بتصحيحها وأصدروا إصدارًا ثابتًا، الإصدار 4.0.1. الإصدارات السابقة لهذا الإصدار معرضة للخطر.
سحق بالون آخر تغذية الاجتماعية
يأخذ البرنامج المساعد Smash Balloon Social Post Feed WordPress Facebook يغذيها ويحولها إلى منشورات على موقع WordPress.
تم تصميم النسخة المجانية من البرنامج المساعد للعرض Facebook المشاركات بطريقة تتناسب مع شكل ومظهر الموقع Facebook يتم إعادة نشر المحتوى على. تقوم النسخة “المحترفة” المدفوعة أيضًا بإعادة نشر الصور ومقاطع الفيديو والتعليقات.
البرمجة النصية عبر المواقع المخزنة عبر تحديث الإعداد التعسفي
يعد استغلال البرمجة النصية المخزنة عبر المواقع (Stored XSS) أحد أشكال ثغرة البرمجة النصية عبر المواقع التي تسمح للمهاجم الضار بتحميل البرامج النصية الضارة وتخزينها بشكل دائم على الخادم نفسه.
اليك غير ربحية افتح مشروع أمان تطبيقات الويبيصف t (OWASP) ثغرات XSS المخزنة:
“الهجمات المخزنة هي تلك التي يتم فيها تخزين البرنامج النصي المحقون بشكل دائم على الخوادم المستهدفة، كما هو الحال في قاعدة البيانات…
يقوم الضحية بعد ذلك باسترداد البرنامج النصي الضار من الخادم عندما يطلب المعلومات المخزنة.
الامتيازات والشيكات غير موجودة
أعلن التحذير الأمني الذي نشرته Jetpack أن المكون الإضافي Smash Balloon Social Post Feed WordPress به مشكلتان أمنيتان تسببتا في تحوله إلى مشكلة أمنية. كانت شيكات الامتياز وNonce مفقودة.
يمكن أن تحدث هجمات XSS عادةً عندما تكون هناك طريقة لتحميل شيء ما أو إدخاله إلى موقع WordPress. يمكن أن يكون ذلك من خلال نموذج، في التعليقات، حيث يمكن للمستخدم إدخال البيانات.
من المفترض أن يقوم مكون WordPress الإضافي بحماية الموقع عن طريق إجراء عمليات التحقق، من بينها التحقق من مستوى الامتياز الذي يتمتع به المستخدم (مشترك، محرر، مسؤول).
بدون امتياز مناسب، تحقق من أن المستخدم في المستوى الأدنى، مثل المشترك، قادر على تنفيذ الإجراءات التي تتطلب عادةً أعلى مستويات الوصول، مثل امتيازات مستوى المسؤول.
الرقم nonce هو رمز أمان يستخدم لمرة واحدة ويهدف إلى حماية المدخلات من الهجمات.
ووردبريس نالتوثيق مرة واحدة يشرح قيمة الأرقام غير:
“إذا كان موضوعك يسمح للمستخدمين بإرسال البيانات؛ سواء كان ذلك في المشرف أو الواجهة الأمامية؛ يمكن استخدام noces للتحقق من نية المستخدم لتنفيذ إجراء ما، وهو فعال في الحماية من تزوير الطلبات عبر المواقع (CSRF).
ومن الأمثلة على ذلك موقع WordPress الذي يُسمح فيه للمستخدمين المصرح لهم بتحميل مقاطع الفيديو.
حددت Jetpack ثغرة أمنية في البرنامج الإضافي Smash Balloon والتي فشلت في إجراء عمليات التحقق من الامتيازات وعدم وجودها، مما أدى إلى فتح الموقع للهجوم.
وصف Jetpack كيف كشفت الثغرة الأمنية مواقع الويب:
“لم يقم إجراء wp_ajax_cff_save_settings AJAX، المسؤول عن تحديث الإعدادات الداخلية للمكون الإضافي، بأي امتيازات أو عمليات فحص غير محددة قبل القيام بذلك. وقد أتاح هذا لأي مستخدم قام بتسجيل الدخول استدعاء هذا الإجراء وتحديث أي من إعدادات المكون الإضافي.
لسوء الحظ، أحد هذه الإعدادات، customJS، يمكّن المسؤولين من تخزين JavaScript مخصص في منشورات وصفحات مواقعهم. تحديث هذا الإعداد هو كل ما يتطلبه الأمر من جهة فاعلة سيئة لتخزين نصوص برمجية ضارة على الموقع.
يشير سجل تغيير البرنامج المساعد Smash Balloon Social Post Feed WordPress، الذي يسجل ما يحتويه كل تحديث للإصدار، بشكل صحيح إلى أنه تم إصلاح مشكلة أمنية.
إنها ليست مسؤولة فقط عن إصلاح نقاط الضعف في الوقت المناسب، وهو ما فعلته Smash Balloon، ولكنها مسؤولة أيضًا عن ملاحظة ذلك في سجل التغيير، وهو ما فعلته Smash Balloon أيضًا.
ينص سجل التغيير على ما يلي:
“الإصلاح: تحسين تشديد الأمان.”
لقطة شاشة لسجل التغيير لخلاصة النشر الاجتماعي لـ Smash Balloon
الإجراء الموصى به
تم تصحيح Smash Balloon Social Post Feed مؤخرًا لإصلاح هجوم Stored XSS الذي يسمح بتحميل البرامج النصية الضارة.
توصي Jetpack بتحديث Smash Balloon Social Post Feed إلى الإصدار الأحدث حتى كتابة هذه السطور، وهو الإصدار 4.0.1. قد يؤدي الفشل في القيام بذلك إلى جعل تثبيت WordPress غير آمن.
اقتباسات
Jetpack الاستشارات الأمنية
تم تصحيح المشكلات الأمنية في البرنامج الإضافي Smash Balloon Social Post Feed
