وردپرس ۵.۸.۱ منتشر شد: رفع چندین باگ و سه آسیب‌پذیری امنیتی

وردپرس به‌تازگی از آپدیت جدیدی رونمایی کرده که به حفظ این سیستم مدیریت محتوا کمک می‌کند و سه مشکل امنیتی نسخه‌های ۵.۴ تا ۵.۸ را برطرف می‌سازد. این نسخه همچنین شامل ۴۱ رفع باگ در بخش هسته و ۲۰ رفع باگ در ادیتور بلاک است. با ما در مورد این خبر فناوری همراه باشید ...

 

وردپرس ۵.۸.۱ امروز منتشر شده و برای عموم کاربران در دسترس قرار گرفته است. این نسخه مشکل آسیب‌پذیری REST API، آسیب‌پذیری XSS در ادیتور گوتنبرگ و چند آسیب‌پذیری خطرناک دیگر در کتابخانه Lodash JavaScript را برطرف می‌کند.

آپدیت جدید وردپرس با مدیریت دو کارمند این شرکت به نام‌های «جاناتان دسروسیرز» و «ایوان مولینز» توسعه یافته است. این دو نفر در پستی در وبلاگ وردپرس از همه کسانی تشکر کرده‌اند که آسیب‌پذیری‌ها را در دوره بتای ۵.۸ گزارش کرده بودند. این گزارش‌ها به تیم امنیتی وردپرس اجازه داد تا پیش از افشای آن‌ها در سطح اینترنت فرصت رفع باگ را داشته باشند.

برای درک سه مشکل امنیتی اصلی وردپرس که در این نسخه برطرف شده باید توضیحاتی ارائه کنیم. REST API یک رابط برنامه‌نویسی است که مطابقت با سبک معماری REST را ایجاد می‌کند و به خدمات وب RESTful اجازه تعامل می‌دهد. اسکریپت‌نویسی میان-سایتی (XSS) نوعی آسیب‌پذیری امنیتی وب است که به مهاجم اجازه می‌دهد تعاملات کاربر با اپلیکیشن‌های آسیب‌پذیر را در معرض خطر قرار دهد.

مشکلات امنیتی وردپرس برطرف شد

وردپرس 5.8.1 سه آسیب پذیری را برطرف می کند:

1. آسیب پذیری داده ها در REST API
2. آسیب پذیری برنامه نویسی بین سایتی (XSS) در ویرایشگر بلوک گوتنبرگ
3. آسیب پذیری های متعدد شدیدا مهم و ریسکی در کتابخانه جاوا اسکریپت Lodash

هر سه آسیب پذیری فوق به قدری نگران کننده هستند که اعلامیه وردپرس توصیه می کند فوراً نصب وردپرس را به روز کنید.

آسیب پذیری REST API

WordPress REST API رابطی است که به افزونه ها و تم ها اجازه می دهد تا با هسته وردپرس تعامل داشته باشند.

REST API منبعی برای آسیب پذیری های امنیتی بوده است ، از جمله اخیراً با آسیب پذیری Gutenberg Template Library & Redux Framework که بیش از یک میلیون وب سایت را تحت تأثیر قرار داده است.
این آسیب پذیری به عنوان آسیب پذیری قرار گرفتن در معرض داده ها توصیف می شود ، به این معنی که می توان اطلاعات حساس را فاش کرد. در حال حاضر هیچ اطلاعات دیگری در مورد نوع اطلاعات موجود نیست ، اما می تواند به اندازه گذرواژه برای داده ها باشد که می تواند برای ایجاد حمله از طرق دیگر مورد استفاده قرار گیرد.

آسیب پذیری XSS

آسیب پذیری های Cross-Site Scripting (XSS) نسبتاً زیاد اتفاق می افتد. هر زمان که ورودی ای مانند فرم تماس یا ایمیل وجود داشته باشد ،این ریسک می تواند وجود داشته باشد.

شرح آسیب از طریق XSS توسط (OWASP) :

“یک مهاجم می تواند از XSS برای ارسال یک اسکریپت مخرب به یک کاربر مشکوک استفاده کند. مرورگر کاربر نهایی به هیچ طریق نمی تواند بفهمد که به اسکریپت نباید اعتماد کرد و اسکریپت را اجرا می کند.
از آنجا که فکر می کند اسکریپت از یک منبع معتبر آمده است ، اسکریپت مخرب می تواند به هرگونه کوکی ، یا سایر اطلاعات حساس که توسط مرورگر حفظ شده و در آن سایت استفاده می شود دسترسی داشته باشد. این اسکریپت ها حتی می توانند محتوای صفحه HTML را بازنویسی کنند.

این آسیب پذیری خاص بر ویرایشگر بلوک گوتنبرگ تأثیر می گذارد.

همچنین بخوانید :

السالوادور استخراج بیت کوین توسط انرژی حاصل از آتشفشان را شروع کرد

آسیب پذیری وردپرس از کتابخانه جاوا اسکریپت Lodash :

این آسیب پذیری ها ممکن است نگران کننده ترین باشند. کتابخانه جاوا اسکریپت Lodash مجموعه ای از اسکریپت هایی است که توسط برنامه نویسان و توسعه دهندگان، مورد استفاده قرار می گیرد و دارای چندین آسیب پذیری است.

وب سایت CVE List تحت حمایت امنیت داخلی ایالات متحده جزئیات این نوع آسیب پذیری را شرح می دهد :

“نسخه های Lodash قبل از 4.17.21 از طریق تابع الگو در برابر Command Injection آسیب پذیر هستند.”

سخن پایانی و مهم:

وردپرس به روز رسانی فوری نیاز دارد !
این آسیب پذیری های امنیتی، اهمیت بروزرسانی را نسبت به گذشته دوچندان می کند.

اعلان رسمی وردپرس برای بروزرسانی:

“از آنجا که این یک نسخه امنیتی است ، توصیه می شود سایت های خود را فورا به روز کنید. همه نسخه های WordPress 5.4 نیز باید سریعا بروز شوند. “

کتابخانه Lodash هم در تمامی انشعاب‌ها به نسخه ۴.۱۷.۲۱ به‌روز شده تا اصلاحات امنیتی بالادستی را دربر بگیرد. وردپرس با این آپدیت، امنیت و پایداری نرم‌افزار خود را ارتقا داده و به کاربران حقیقی و حقوقی کمک می‌کند تا تجربه بهتری از این سیستم مدیریت محتوا داشته باشند.

بر اساس گزارشی که سال گذشته منتشر شد، محبوبیت وردپرس همچنان در حال رشد است و داده‌های W3Techs نشان می‌دهد که ۴۰ درصد سایت‌های دنیا از این سیستم مدیریت محتوا استفاده می‌کنند. ایران پس از آفریقای جنوبی در رتبه دوم بیشترین استفاده از وردپرس قرار داشت.