ثغرة WordPress في الإضافات الأساسية للعنصر

ثغرة WordPress

أكثر من مليون موقع WordPress متأثر بالثغرات الأمنية التي قد تؤدي إلى هجمات تنفيذ التعليمات البرمجية عن بُعد

المكون الإضافي الأساسي لـ Elementor WordPress ، مع أكثر من مليون مستخدم قاموا مؤخرًا بتصحيح العديد من الثغرات الأمنية التي كان من الممكن أن تسمح للمهاجمين الضارين بتشغيل تعليمات برمجية عشوائية على موقع WordPress مستهدف.

ثغرة أمنية في LFI إلى RCE Attack

وفقًا لموقع NIST التابع لحكومة الولايات المتحدة، فإن الثغرات الأمنية الموجودة في المكون الإضافي Essential Addons for Elementor جعلت من الممكن للمهاجم شن هجوم تضمين ملف محلي، وهو استغلال يسمح للمهاجمين بالتسبب في تثبيت WordPress للكشف عن معلومات حساسة وقراءة عشوائية. الملفات.

من هناك يمكن أن يؤدي الهجوم إلى هجوم أكثر خطورة يسمى تنفيذ الرمز عن بعد (RCE). يعد تنفيذ التعليمات البرمجية عن بُعد شكلًا خطيرًا للغاية من أشكال الهجوم حيث يتمكن المخترق من تشغيل تعليمات برمجية عشوائية على موقع WordPress والتسبب في مجموعة من الأضرار، بما في ذلك الاستيلاء على الموقع بالكامل.

على سبيل المثال، يمكن تنفيذ هجوم تضمين الملف المحلي عن طريق تغيير معلمات URL إلى شيء يمكن أن يكشف عن معلومات حساسة.

أصبح هذا ممكنًا لأن المكون الإضافي Essential Addons for Elementor WordPress لم يتحقق من صحة البيانات ويعقمها بشكل صحيح.

تعقيم البيانات هي عملية للحد من نوع المعلومات التي يمكن إدخالها. بعبارات بسيطة، يمكن اعتبار تعقيم البيانات بمثابة قفل يسمح فقط بإدخال محدد، مفتاح بنمط معين. يمكن أن يكون الفشل في إجراء تنقية البيانات مماثلاً للقفل الذي يسمح لأي مفتاح بفتحه.

وفقًا لقاعدة بيانات الضعف القومية لحكومة الولايات المتحدة:

“الإضافات الأساسية لـ Elementor WordPress الإضافي قبل 5.0.5 لا تتحقق من صحة وتعقيم بعض بيانات القوالب قبلها في عبارات التضمين، مما قد يسمح للمهاجمين غير المصادق عليهم بتنفيذ هجوم Local File Inclusion وقراءة الملفات التعسفية على الخادم، وقد يؤدي هذا أيضًا إلى إلى RCE عبر الملفات التي يحمّلها المستخدم أو تقنيات LFI الأخرى لتقنيات RCE “.

موقع الأمان WPScan الذين اكتشفوا أولاً الثغرة الأمنية والإبلاغ عنها نشروا الوصف التالي:

“لا يقوم المكون الإضافي بالتحقق من صحة بعض بيانات القوالب وتعقيمها قبلها في عبارات التضمين، مما قد يسمح للمهاجمين غير المصادق عليهم بتنفيذ هجوم تضمين الملف المحلي وقراءة الملفات التعسفية على الخادم، وقد يؤدي ذلك أيضًا إلى RCE عبر الملفات التي تم تحميلها بواسطة المستخدم أو LFI الأخرى لتقنيات RCE. “

اكتب محتوى جذابًا بأسلوبك الفريد
أتمتة إنشاء المحتوى بالكامل؛ الحصول على أفكار محتوى مخصصة؛ وكتابة المقالات وتحسينها ونشرها بنقرة واحدة – باستخدام ContentShake.

الإضافات الأساسية للعنصر مصححة

تم الإعلان عن الثغرة الأمنية على موقع قاعدة بيانات الثغرات الأمنية الوطنية في 1 فبراير 2022.

لكن الإصدار “Lite” Essential Addons for Elementor الإضافي يعمل على تصحيح الثغرات الأمنية منذ نهاية شهر يناير، وفقًا لـ Essential Addons Lite changelog.

سجل التغيير هو ملف سجل لجميع التغييرات التي تم إجراؤها لكل إصدار من البرنامج، مثل مكون WordPress الإضافي، الذي يتم تحديثه. إنه سجل لكل ما تم تغييره.

الغرض من سجل التغيير هو تسجيل ما تم تغييره بالإضافة إلى توفير الشفافية لمستخدمي البرنامج، الذين يمكنهم مراجعته قبل التحديث وتحديد ما إذا كان التحديث مهمًا أو يستغرق بعض الوقت واختبار المكون الإضافي على موقع مرحلي لمعرفة ما إذا كانت التغييرات تؤثر على المكونات الإضافية الأخرى والموضوع قيد الاستخدام.

من الغريب أن التغيير في إصدار Pro لا يذكر سوى “عدد قليل من إصلاحات الأخطاء الطفيفة والتحسينات” ولكنه لم يذكر إصلاحات الأمان مطلقًا.

لقطة شاشة لـ Essential Addons for Elementor Pro Changelog

لماذا تكون معلومات إصلاح الأمان مفقودة من إصدار Pro لمكوِّن WordPress الإضافي؟

سجل التغيير لإصدار Lite من الإضافات الأساسية لبرنامج Elementor Lite الإضافي

تم تحديث سجل التغيير لإصدار Lite الذي يغطي الإصدارات 5.0.3 إلى 5.0.5 من 25 إلى 28 يناير 2022 لإصلاح المشكلات التالية:

  • ثابت: تعقيم المعلمات في عناصر واجهة المستخدم الديناميكية
  • تحسين: مسارات ملفات القوالب المعقمة لتحسين الأمان
  • محسّن: أمان محسّن لمنع تضمين ملف غير مرغوب فيه من خادم بعيد من خلال طلب ajax

يشير سجل التغيير إلى أنه تم اليوم في 2 فبراير 2022 إجراء التحسينات الأمنية التالية للإصدار 5.0.6:

  • محسّن: تنقية البيانات والتحقق من صحتها والهروب من أجل تحسين الأمان

ما هو الإصدار الأكثر أمانًا من الإضافات الأساسية للمكوِّن الإضافي Elementor؟

لم تحدد قاعدة بيانات الثغرات الأمنية الحكومية الأمريكية درجة الخطورة، لذلك من غير الواضح في الوقت الحالي مدى سوء الثغرة الأمنية.

ومع ذلك، فإن الثغرة الأمنية في تنفيذ التعليمات البرمجية عن بُعد تثير القلق بشكل خاص، لذا من المحتمل أن يكون التحديث إلى أحدث إصدار من المكون الإضافي Essential Addons فكرة جيدة.

ينص موقع WPScan على أنه تم إصلاح الثغرات الأمنية في Essential Addons for Elementor Plugin الإصدار 5.0.5.

ومع ذلك، يوضح سجل التغيير في المكوّن الإضافي للإصدار Lite من المكوّن الإضافي أن الإصدار 5.0.6 يعمل على إصلاح مشكلة تعقيم البيانات الإضافية اليوم، في 22 فبراير 2022.

لذلك قد يكون من الحكمة التحديث إلى الإصدار 5.0.6 على الأقل.

المصدر: searchenginejournal

قد يهمك:

إنشاء محفظة بينانس

مواقع البحث

تسجيل دخول باي بال

إنشاء حساب جديد فيسبوك

تسجيل دخول جيميل من الجوال

إنشاء حساب Hotmail

إنشاء حساب Yahoo | تسجيل دخول

© حقوق النشر 2023، جميع الحقوق محفوظة

يتم التشغيل بواسطة سيو ماستر لإدارة المواقع الإلكترونية.

أنت تستخدم إضافة Adblock

يعتمد موقع انشاء على الاعلانات كمصدر لدعم الموقع، يجب عليك ايقاف تشغيل حاجب الاعلانات لمشاهدة المحتوي