به گزارش Simon Scannell از شرکت RIPS Technology که مالک پروژه موفق و ابزار قدرتمند RIPS نیز می باشد، یک آسیب پذیری قدیمی در وردپرس کشف شده که قدمتی ۶ ساله دارد! درست است، 6 سال!
این باگ ها شامل دو آسیب پذیری خطرناک از جنس Local File Inclusion و Path Traversal می باشد که به هکر اجازه هک از راه دور می داد. آسیب پذیری اول یعنی Local File Inclusion در نسخه های ۴٫۹٫۹ و ۵٫۰٫۱ رفع شده و آسیب پذیری دوم فقط در نسخه ۵٫۰٫۳ رفع شده. پس توصیه می کنیم هم اکنون وردپرس خود را نسخه ۵٫۰٫۳ بروز رسانی کنید از این دو آسیب پذیری امنیتی در امان باشید.
ریشه این آسیب پذیری ها در ورودی های Post Meta ای هست که توسط خود وردپرس بکار گرفته می شود و یا پلاگین ها و تم هایی که با پوشه wp-content/uploads کار می کنند. به بیان ساده وقتی که با خود وردپرس و یا با پلاگین ها و تم های خود در حال آپلود یا ویرایش عکس هستید در واقع آسیب پذیر هستید و امکان رهگیری مسیر عبوری وردپرس برای مدیریت عکس های ویرایش شده (Path Traversal) توسط هکر وجود دارد.
در مرحله بعد با کسب اطلاع از مسیرهایی که بوسیله وردپرس برای هاست شما ایجاد شده، هکر می تواند با تزریق اکسپلویت در توابع php که حین مدیریت عکسها فراخوانی می شوند کنترل کامل هاست را در دست بگیرد.
توصیه ما به عزیزانی که در حال حاضر از وردپرس استفاده می کنند این است که در گام اول سایت خود را بروز نگه دارید. متاسفانه بعضی برنامه نویسان، طراحان و مدیران سایت به دلایل تجاری سایت رو آپدیت نمی کنند یا دیر اقدام به بروز رسانی می کنند تا به زعم خودشون خیالشون از خراب نشدن سایت راحت باشه. این جمله قطعا یک کلیشه هست اما حقیقت رو باید قبول کرد حتی اگر کلیشه باشه: یک سایت دارای ایراد بهتر از یک سایت هک شدس! پس همین حالا برای بروز رسانی وردپرس اقدام کنید! اگر در این مورد به مشکلی بر خوردید یا خدای ناکرده بهتون حمله ای شد با ما تماس بگیرید. کارشناسان ما در بخش پشتیبانی آماده پاسخگویی به شما هستند.
