وردپرس بهتازگی از آپدیت جدیدی رونمایی کرده که به حفظ این سیستم مدیریت محتوا کمک میکند و سه مشکل امنیتی نسخههای ۵.۴ تا ۵.۸ را برطرف میسازد. این نسخه همچنین شامل ۴۱ رفع باگ در بخش هسته و ۲۰ رفع باگ در ادیتور بلاک است. با ما در مورد این خبر فناوری همراه باشید ...
وردپرس ۵.۸.۱ امروز منتشر شده و برای عموم کاربران در دسترس قرار گرفته است. این نسخه مشکل آسیبپذیری REST API، آسیبپذیری XSS در ادیتور گوتنبرگ و چند آسیبپذیری خطرناک دیگر در کتابخانه Lodash JavaScript را برطرف میکند.
آپدیت جدید وردپرس با مدیریت دو کارمند این شرکت به نامهای «جاناتان دسروسیرز» و «ایوان مولینز» توسعه یافته است. این دو نفر در پستی در وبلاگ وردپرس از همه کسانی تشکر کردهاند که آسیبپذیریها را در دوره بتای ۵.۸ گزارش کرده بودند. این گزارشها به تیم امنیتی وردپرس اجازه داد تا پیش از افشای آنها در سطح اینترنت فرصت رفع باگ را داشته باشند.
برای درک سه مشکل امنیتی اصلی وردپرس که در این نسخه برطرف شده باید توضیحاتی ارائه کنیم. REST API یک رابط برنامهنویسی است که مطابقت با سبک معماری REST را ایجاد میکند و به خدمات وب RESTful اجازه تعامل میدهد. اسکریپتنویسی میان-سایتی (XSS) نوعی آسیبپذیری امنیتی وب است که به مهاجم اجازه میدهد تعاملات کاربر با اپلیکیشنهای آسیبپذیر را در معرض خطر قرار دهد.
مشکلات امنیتی وردپرس برطرف شد
وردپرس 5.8.1 سه آسیب پذیری را برطرف می کند:
- آسیب پذیری داده ها در REST API
- آسیب پذیری برنامه نویسی بین سایتی (XSS) در ویرایشگر بلوک گوتنبرگ
- آسیب پذیری های متعدد شدیدا مهم و ریسکی در کتابخانه جاوا اسکریپت Lodash
هر سه آسیب پذیری فوق به قدری نگران کننده هستند که اعلامیه وردپرس توصیه می کند فوراً نصب وردپرس را به روز کنید.
آسیب پذیری REST API
WordPress REST API رابطی است که به افزونه ها و تم ها اجازه می دهد تا با هسته وردپرس تعامل داشته باشند.
REST API منبعی برای آسیب پذیری های امنیتی بوده است ، از جمله اخیراً با آسیب پذیری Gutenberg Template Library & Redux Framework که بیش از یک میلیون وب سایت را تحت تأثیر قرار داده است.
این آسیب پذیری به عنوان آسیب پذیری قرار گرفتن در معرض داده ها توصیف می شود ، به این معنی که می توان اطلاعات حساس را فاش کرد. در حال حاضر هیچ اطلاعات دیگری در مورد نوع اطلاعات موجود نیست ، اما می تواند به اندازه گذرواژه برای داده ها باشد که می تواند برای ایجاد حمله از طرق دیگر مورد استفاده قرار گیرد.
آسیب پذیری XSS
آسیب پذیری های Cross-Site Scripting (XSS) نسبتاً زیاد اتفاق می افتد. هر زمان که ورودی ای مانند فرم تماس یا ایمیل وجود داشته باشد ،این ریسک می تواند وجود داشته باشد.
شرح آسیب از طریق XSS توسط (OWASP) :
“یک مهاجم می تواند از XSS برای ارسال یک اسکریپت مخرب به یک کاربر مشکوک استفاده کند. مرورگر کاربر نهایی به هیچ طریق نمی تواند بفهمد که به اسکریپت نباید اعتماد کرد و اسکریپت را اجرا می کند.
از آنجا که فکر می کند اسکریپت از یک منبع معتبر آمده است ، اسکریپت مخرب می تواند به هرگونه کوکی ، یا سایر اطلاعات حساس که توسط مرورگر حفظ شده و در آن سایت استفاده می شود دسترسی داشته باشد. این اسکریپت ها حتی می توانند محتوای صفحه HTML را بازنویسی کنند.
این آسیب پذیری خاص بر ویرایشگر بلوک گوتنبرگ تأثیر می گذارد.
همچنین بخوانید :
السالوادور استخراج بیت کوین توسط انرژی حاصل از آتشفشان را شروع کرد
آسیب پذیری وردپرس از کتابخانه جاوا اسکریپت Lodash :
این آسیب پذیری ها ممکن است نگران کننده ترین باشند. کتابخانه جاوا اسکریپت Lodash مجموعه ای از اسکریپت هایی است که توسط برنامه نویسان و توسعه دهندگان، مورد استفاده قرار می گیرد و دارای چندین آسیب پذیری است.
وب سایت CVE List تحت حمایت امنیت داخلی ایالات متحده جزئیات این نوع آسیب پذیری را شرح می دهد :
“نسخه های Lodash قبل از 4.17.21 از طریق تابع الگو در برابر Command Injection آسیب پذیر هستند.”
سخن پایانی و مهم:
وردپرس به روز رسانی فوری نیاز دارد !
این آسیب پذیری های امنیتی، اهمیت بروزرسانی را نسبت به گذشته دوچندان می کند.
اعلان رسمی وردپرس برای بروزرسانی:
“از آنجا که این یک نسخه امنیتی است ، توصیه می شود سایت های خود را فورا به روز کنید. همه نسخه های WordPress 5.4 نیز باید سریعا بروز شوند. “
کتابخانه Lodash هم در تمامی انشعابها به نسخه ۴.۱۷.۲۱ بهروز شده تا اصلاحات امنیتی بالادستی را دربر بگیرد. وردپرس با این آپدیت، امنیت و پایداری نرمافزار خود را ارتقا داده و به کاربران حقیقی و حقوقی کمک میکند تا تجربه بهتری از این سیستم مدیریت محتوا داشته باشند.
بر اساس گزارشی که سال گذشته منتشر شد، محبوبیت وردپرس همچنان در حال رشد است و دادههای W3Techs نشان میدهد که ۴۰ درصد سایتهای دنیا از این سیستم مدیریت محتوا استفاده میکنند. ایران پس از آفریقای جنوبی در رتبه دوم بیشترین استفاده از وردپرس قرار داشت.