العيوب الخطيرة في البرنامج الإضافي لمكافحة البريد العشوائي في WordPress تعرض أكثر من 200000 موقع للهجمات عن بعد
هناك عيبان أمنيان خطيران يؤثران على الحماية من البريد العشوائي، ومكافحة البريد العشوائي، والمكون الإضافي لجدار الحماية، يمكن أن يسمح WordPress لمهاجم غير مصادق بتثبيت المكونات الإضافية الضارة وتمكينها على المواقع الحساسة وربما تنفيذ التعليمات البرمجية عن بُعد.
نقاط الضعف، وتعقبها CVE-2024-10542 و CVE-2024-10781، احصل على درجة CVSS 9.8 من 10.0 كحد أقصى. تمت معالجتها في الإصدارين 6.44 و6.45 اللذين تم إصدارهما هذا الشهر.
تم تثبيته على أكثر من 200000 موقع WordPress، كما أن حماية CleanTalk من البريد العشوائي ومكافحة البريد العشوائي والمكون الإضافي لجدار الحماية المعلن عنها باعتباره “مكوّنًا إضافيًا عالميًا لمكافحة البريد العشوائي” يحظر التعليقات غير المرغوب فيها والتسجيلات والاستطلاعات والمزيد.
وفقًا لـ Wordfence، تتعلق كلا الثغرات الأمنية بمشكلة تجاوز الترخيص التي قد تسمح لممثل ضار بتثبيت وتنشيط المكونات الإضافية العشوائية. يمكن أن يمهد هذا الطريق لتنفيذ التعليمات البرمجية عن بعد إذا كان المكون الإضافي المنشط عرضة للخطر في حد ذاته.
المكون الإضافي “عرضة لتثبيت البرنامج الإضافي التعسفي غير المصرح به بسبب فقدان التحقق من القيمة الفارغة على قيمة ‘api_key’ في وظيفة ‘التنفيذ’ في جميع الإصدارات حتى الإصدار 6.44، بما في ذلك،” الباحث الأمني إستفان مارتون قال، بالإشارة إلى CVE-2024-10781.
من ناحية أخرى، ينبع CVE-2024-10542 من تجاوز الترخيص عبر انتحال DNS العكسي على وظيفة checkWithoutToken().
وبغض النظر عن طريقة التجاوز، فإن الاستغلال الناجح لنقطتي القصور قد يسمح للمهاجم بتثبيت المكونات الإضافية أو تنشيطها أو إلغاء تنشيطها أو حتى إلغاء تثبيتها.
يُنصح مستخدمو البرنامج الإضافي بالتأكد من تحديث مواقعهم إلى أحدث إصدار مصحح للحماية من التهديدات المحتملة.
ويأتي هذا التطور كما حذر سوكوري عديد الحملات التي تستفيد من مواقع WordPress المخترقة لحقن تعليمات برمجية ضارة مسؤولة عن إعادة توجيه زوار الموقع إلى مواقع أخرى عبر إعلانات وهمية، قشط بيانات اعتماد تسجيل الدخول، إلى جانب إسقاط البرامج الضارة الذي يلتقط كلمات مرور المسؤول، ويعيد التوجيه إلى مواقع الاحتيال VexTrio Viper، وينفذ كود PHP التعسفي على الخادم.
إرسال التعليق