ثغرة أمنية في مكون GiveWP WordPress الإضافي تعرض أكثر من 100000 موقع للخطر
تم الكشف عن ثغرة أمنية شديدة الخطورة في البرنامج الإضافي WordPress GiveWP للتبرع وجمع التبرعات، مما يعرض أكثر من 100000 موقع ويب لهجمات تنفيذ التعليمات البرمجية عن بُعد.
يؤثر الخلل، الذي تم تتبعه باسم CVE-2024-5932 (درجة CVSS: 10.0)، على جميع إصدارات البرنامج الإضافي قبل الإصدار 3.14.2، الذي تم إصداره في 7 أغسطس 2024. باحث أمني، يستخدم الاسم المستعار عبر الإنترنت villu164 ، كان له الفضل في اكتشاف المشكلة والإبلاغ عنها.
البرنامج المساعد “عرضة لـ PHP Object حقن في جميع الإصدارات حتى، بما في ذلك، 3.14.1 عبر إلغاء تسلسل المدخلات غير الموثوق بها من المعلمة ‘give_title’،” Wordfence قال في تقرير هذا الاسبوع
“وهذا يجعل من الممكن للمهاجمين غير المصادقين حقن كائن PHP. ويتيح الوجود الإضافي لسلسلة POP للمهاجمين تنفيذ التعليمات البرمجية عن بعد، وحذف الملفات العشوائية.”
تكمن جذور الثغرة الأمنية في وظيفة تسمى “give_process_donation_form()”، والتي تُستخدم للتحقق من صحة بيانات النموذج المدخلة وتطهيرها، قبل تمرير معلومات التبرع، بما في ذلك تفاصيل الدفع، إلى البوابة المحددة.
يمكن أن يؤدي الاستغلال الناجح للخلل إلى تمكين جهة تهديد موثقة من تنفيذ تعليمات برمجية ضارة على الخادم، مما يجعل من الضروري أن يتخذ المستخدمون خطوات لتحديث مثيلاتهم إلى أحدث إصدار.
ويأتي الكشف بعد أيام من Wordfence أيضًا مفصل ثغرة أمنية خطيرة أخرى في المكونات الإضافية InPost PL وInPost for WooCommerce WordPress (CVE-2024-6500، درجة CVSS: 10.0) تتيح لممثلي التهديدات غير المصادقين قراءة وحذف الملفات العشوائية، بما في ذلك ملف wp-config.php.
في أنظمة Linux، يمكن فقط حذف الملفات الموجودة في دليل تثبيت WordPress، ولكن يمكن قراءة جميع الملفات. لقد تم تصحيح المشكلة في الإصدار 1.4.5.
هناك أيضًا عيب خطير آخر في JS Help Desk، وهو مكون إضافي لـ WordPress يحتوي على أكثر من 5000 عملية تثبيت نشطة. مكشوف (CVE-2024-7094، درجة CVSS: 9.8) لتمكين تنفيذ التعليمات البرمجية عن بعد بسبب وجود خلل في إدخال كود PHP. تم إصدار تصحيح للثغرة الأمنية في الإصدار 2.8.7.
بعض العيوب الأمنية الأخرى التي تم حلها في العديد من مكونات WordPress الإضافية مذكورة أدناه –
- CVE-2024-6220 (درجة CVSS: 9.8) – خلل في تحميل الملفات بشكل عشوائي في البرنامج الإضافي 简数采集器 (Keydatas) الذي يسمح للمهاجمين غير المصادقين بتحميل ملفات عشوائية على خادم الموقع المتأثر، مما يؤدي في النهاية إلى تنفيذ التعليمات البرمجية
- CVE-2024-6467 (درجة CVSS: 8.8) – خلل عشوائي في قراءة الملف في البرنامج الإضافي لحجز المواعيد في BookingPress والذي يسمح للمهاجمين المعتمدين، الذين يتمتعون بإمكانية الوصول على مستوى المشترك وما فوق، بإنشاء ملفات عشوائية وتنفيذ تعليمات برمجية عشوائية أو الوصول إلى معلومات حساسة
- CVE-2024-5441 (درجة CVSS: 8.8) – خلل في تحميل الملفات بشكل عشوائي في البرنامج الإضافي لتقويم الأحداث الحديثة والذي يسمح للمهاجمين المعتمدين، الذين لديهم وصول مشترك وما فوق، بتحميل ملفات عشوائية على خادم الموقع المتأثر وتنفيذ التعليمات البرمجية
- CVE-2024-6411 (درجة CVSS: 8.8) – ثغرة في تصعيد الامتيازات في ProfileGrid – البرنامج الإضافي لملفات تعريف المستخدمين والمجموعات والمجتمعات الذي يسمح للمهاجمين المعتمدين، الذين يتمتعون بإمكانية الوصول على مستوى المشترك وما فوق، بتحديث إمكانات المستخدم الخاصة بهم إلى إمكانات المسؤول
يعد التصحيح ضد نقاط الضعف هذه خط دفاع حاسم ضد الهجمات التي تستغلها لتقديم كاشطات بطاقات الائتمان القادرة على جمع المعلومات المالية التي يدخلها زوار الموقع.
الأسبوع الماضي، سوكوري تسليط الضوء في حملة الكاشطة التي تحقن مواقع التجارة الإلكترونية PrestaShop بجافا سكريبت ضار يعمل على تعزيز WebSocket اتصال لسرقة تفاصيل بطاقة الائتمان.
كما حذرت شركة أمان مواقع الويب المملوكة لشركة GoDaddy مالكي مواقع WordPress من تثبيت المكونات الإضافية والموضوعات الفارغة، مشيرة إلى أنها يمكن أن تكون بمثابة ناقل للبرامج الضارة والأنشطة الشائنة الأخرى.
“في النهاية، يعد الالتزام بالمكونات الإضافية والموضوعات المشروعة جزءًا أساسيًا من الإدارة المسؤولة لموقع الويب، ولا ينبغي أبدًا المساس بالأمان من أجل الاختصار،” Sucuri قال.
إرسال التعليق