هکرها یک نقص امنیتی وردپرس را هدف قرار می دهند که قرار بود رفع شده باشد


Warning: sprintf(): Too few arguments in /home/bia2host/public_html/blog/wp-content/themes/the-authority/inc/template-tags.php on line 28
Bia2 Host
هکرها یک نقص امنیتی وردپرس را هدف قرار می دهند که قرار بود رفع شده باشد

محققان اخیراً یک آسیب‌پذیری شناخته شده و ظاهراً برطرف شده را مشاهده کرده‌اند که در طبیعت از آن برای سرقت اعتبارنامه‌های ورود استفاده می‌شود. وردپرس وب سایت ها

محققان امنیت سایبری از آسیب پذیری های افزونهسازمانی که نقص‌های افزونه‌های وردپرس را رصد می‌کند، گزارش داد که یک هکر تلاش می‌کند از آسیب‌پذیری مشاهده فایل دلخواه در افزونه WP Compress سوء استفاده کند.

WP Compress پلاگینی است که قول می‌دهد با فشرده‌سازی تصاویر موجود در وب‌سایت، زمان‌های کند بارگذاری را برطرف کند. با بهبود زمان بارگذاری، توسعه دهندگان می گویند که سایت ها در رتبه بندی موتورهای جستجو عملکرد بهتری خواهند داشت. این همچنین می تواند از خروج بازدیدکنندگان از صفحه جلوگیری کند.

بدون سابقه CVE

با سوء استفاده از این آسیب پذیری، هکر سعی در مشاهده محتویات فایل های پیکربندی وردپرس داشت که در میان موارد دیگر حاوی اعتبار پایگاه داده برای وب سایت نیز می باشد.

یک بررسی عمیق تر نشان داد که این آسیب پذیری به عنوان CVE-2023-6699 ردیابی می شود، اما سابقه خالی است. در وب‌سایت مؤسسه ملی استاندارد و فناوری، می‌گوید: «اگرچه یک شناسه CVE ممکن است توسط CVE یا CNA اختصاص داده شده باشد، اگر دارای وضعیت رزرو شده توسط CVE باشد، در NVD در دسترس نخواهد بود».

از سوی دیگر، سایت CVE می گوید: “این نامزد توسط یک سازمان یا فردی رزرو شده است که هنگام اعلام یک مشکل امنیتی جدید از آن استفاده می کند. وقتی نامزد عمومی شد، جزئیات این نامزد ارائه می شود.

آسیب پذیری پلاگین بیشتر توضیح می دهد که این مشکل ساز است زیرا بسیاری از تیم های فناوری اطلاعات برای پیگیری آسیب پذیری ها به اطلاعات CVE متکی هستند. بدون هیچ اطلاعاتی ارائه شده، بسیاری از وب سایت ها در مورد آسیب پذیری احتمالی که دارند در تاریکی هستند.

با این حال، ظاهراً این نقص در ۱۳ دسامبر ۲۰۲۳ برطرف شد. کسانی که از این افزونه استفاده می‌کنند باید مطمئن شوند که آن را به نسخه ۶٫۱۰٫۳۴ به‌روزرسانی می‌کنند.

محققان تاکید کردند: «عدم تکمیل به موقع سوابق CVE موضوعی است که مدتی است برای CVE شناخته شده است، اما به آن رسیدگی نشده است».

بیشتر از TechRadar Pro


منبع: https://www.techradar.com/pro/security/hackers-are-targeting-a-wordpress-security-flaw-that-was-supposed-to-have-been-fixed

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *