من زينو نهار اليوم ØµØ Ø¹ÙŠØ¯ÙƒÙ… انشر الÙيديو Øتى يراه كل الØ
TheCartPress ، وهو عبارة عن مكون إضافي للتجارة الإلكترونية يستخدم على الآلاف من المواقع الإلكترونية المستندة إلى WordPress ، لديه العديد من نقاط الضعف عالية المخاطر.
لا يوجد حاليا أي إصلاحات متاحة للعيوب ، ووفقا إلى المطور ، سيتم إيقاف دعم المكون الإضافي في 1 حزيران.
قد تسمح الثغرات الأمنية للمهاجمين بـ "تنفيذ أوامر PHP التعسفية والكشف عن بيانات حساسة وتنفيذ هجمات عبر البرامج النصية عبر المواقع [XSS] ضد مستخدمي WordPress وقال باحثون من شركة "هاي-تيك بريدج" الأمنية في يوم الأربعاء: "التركيبات مع المكونات الضعيفة".
[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز الكمبيوتر الذي يعمل بنظام تشغيل Windows]هناك عوامل تحدّ من استغلال بعض من العيوب ، لكنها لا تزال pos (هـ) خطر كبير.
على سبيل المثال ، يتطلب استغلال الثغرة الأمنية التي تسمح بتنفيذ PHP أن يحصل المهاجم على امتيازات إدارية على موقع WordPress. ومع ذلك ، يمكن للمهاجم أن يخدع المسؤول الحقيقي لإدارة الاستغلال من خلال زيارة صفحة ضارة ، وفقًا لباحثين من شركة High-Tech Bridge. يُعرف ذلك بتزوير طلب عبر الموقع (CSRF).
ثغرة أخرى تسمح للمهاجمين غير المصادقين باستعراض الطلبات التي يضعها مستخدمو موقع التجارة الإلكترونية الذي يستخدم المكوّن الإضافي.
وهناك أيضًا العديد من XSS مشكلات ، في كل من اللوحة الإدارية والصفحات التي يمكن للمستخدم الوصول إليها. قد تسمح هذه العيوب للمهاجمين بخداع مستخدمي الموقع لتنفيذ إجراءات مارقة عند النقر على عناوين URL مصممة خصيصًا. ومن الواضح أن هجمات XSS التي يكون فيها الضحية هو المسؤول عن الموقع تحمل أكبر قدر من الخطر.
يدعي الباحثون في شركة High-Tech Bridge أنهم حاولوا إبلاغ مطوّر البرنامج الإضافي عن العيوب منذ 8 أبريل دون نجاح. ويشيرون إلى أن المطور قد أعلن بالفعل أن "دعم TheCartPress سينتهي في 1 يونيو 2015".
نظرًا لأنه ليس من الواضح ما إذا كان سيتم إصلاح العيوب على الإطلاق ، يوصي الباحثون بتعطيل المكون الإضافي أو إزالته. وفقًا للإحصاءات الواردة من مستودع المكونات الأساسية في WordPress ، يمتلك TheCartPress حاليًا أكثر من 5000 عملية تثبيت نشطة.
أكثر من مليون موقع ووردبرس للخطر بسبب العيوب في المكوّن الإضافي لمحركات البحث الاجتماعي الأكثر شعبية
الضعف في المكونات في Yoast يعرض المواقع إلى هجمات حقن SQL
وجود خلل في برنامج ووردبريس الشعبي يضيف Jetpack أكثر من مليون موقع للخطر
يجب على مالكي المواقع الإلكترونية المستندة إلى WordPress تحديث المكون الإضافي Jetpack بأسرع وقت ممكن بسبب خطأ خطير قد يعرض مستخدميها لهجمات.