يعمل ووردبريس E-commerce plug-in على تعرض أكثر من 5000 موقع ويب للخطر

2024

Ù…Ù† Ø²ÙŠÙ†Ùˆ Ù†Ù‡Ø§Ø± Ø§Ù„ÙŠÙˆÙ… ØµØ Ø¹ÙŠØ¯ÙƒÙ… Ø§Ù†Ø´Ø± Ø§Ù„ÙÙŠØ¯ÙŠÙˆ ØØªÙ‰ ÙŠØ±Ø§Ù‡ ÙƒÙ„ Ø§Ù„Ø

TheCartPress ، وهو عبارة عن مكون إضافي للتجارة الإلكترونية يستخدم على الآلاف من المواقع الإلكترونية المستندة إلى WordPress ، لديه العديد من نقاط الضعف عالية المخاطر.

لا يوجد حاليا أي إصلاحات متاحة للعيوب ، ووفقا إلى المطور ، سيتم إيقاف دعم المكون الإضافي في 1 حزيران.

قد تسمح الثغرات الأمنية للمهاجمين بـ "تنفيذ أوامر PHP التعسفية والكشف عن بيانات حساسة وتنفيذ هجمات عبر البرامج النصية عبر المواقع [XSS] ضد مستخدمي WordPress وقال باحثون من شركة "هاي-تيك بريدج" الأمنية في يوم الأربعاء: "التركيبات مع المكونات الضعيفة".

[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز الكمبيوتر الذي يعمل بنظام تشغيل Windows]

هناك عوامل تحدّ من استغلال بعض من العيوب ، لكنها لا تزال pos (هـ) خطر كبير.

على سبيل المثال ، يتطلب استغلال الثغرة الأمنية التي تسمح بتنفيذ PHP أن يحصل المهاجم على امتيازات إدارية على موقع WordPress. ومع ذلك ، يمكن للمهاجم أن يخدع المسؤول الحقيقي لإدارة الاستغلال من خلال زيارة صفحة ضارة ، وفقًا لباحثين من شركة High-Tech Bridge. يُعرف ذلك بتزوير طلب عبر الموقع (CSRF).

ثغرة أخرى تسمح للمهاجمين غير المصادقين باستعراض الطلبات التي يضعها مستخدمو موقع التجارة الإلكترونية الذي يستخدم المكوّن الإضافي.

وهناك أيضًا العديد من XSS مشكلات ، في كل من اللوحة الإدارية والصفحات التي يمكن للمستخدم الوصول إليها. قد تسمح هذه العيوب للمهاجمين بخداع مستخدمي الموقع لتنفيذ إجراءات مارقة عند النقر على عناوين URL مصممة خصيصًا. ومن الواضح أن هجمات XSS التي يكون فيها الضحية هو المسؤول عن الموقع تحمل أكبر قدر من الخطر.

يدعي الباحثون في شركة High-Tech Bridge أنهم حاولوا إبلاغ مطوّر البرنامج الإضافي عن العيوب منذ 8 أبريل دون نجاح. ويشيرون إلى أن المطور قد أعلن بالفعل أن "دعم TheCartPress سينتهي في 1 يونيو 2015".

نظرًا لأنه ليس من الواضح ما إذا كان سيتم إصلاح العيوب على الإطلاق ، يوصي الباحثون بتعطيل المكون الإضافي أو إزالته. وفقًا للإحصاءات الواردة من مستودع المكونات الأساسية في WordPress ، يمتلك TheCartPress حاليًا أكثر من 5000 عملية تثبيت نشطة.