نسخه ۴٫۷٫۱ برنامه WordPress و نسخههای قبلی آن تحت تأثیر چندین آسیبپذیری قرار دارند. یک مهاجم از راه دور میتواند با بهرهبرداری از این آسیبپذیریها کنترل وبسایت آلوده شده را دردست گیرد.
به کاربران و مدیران وبسایتها پیشنهاد میشود تا بهروزرسانی جدید ووردپرس را مورد بررسی قرار داده و ووردپرس خود را به نسخه ۴٫۷٫۲ بهروزرسانی کنند[۱].
نسخه ۴٫۷٫۲ در حال حاضر در دسترس است. این نسخه دربردارنده بهروزرسانیهای امنیتی است که تمامی نسخههای قبلی ووردپرس را شامل شده و بهشدت توصیه میشود که وبسایت خود را بهروزرسانی کنید.
WordPress نسخه ۴٫۷٫۱ و قبل از آن تحت تأثیر ۳ مشکل امنیتی بودند که در اینجا آورده شده است:
- رابط کاربری به منظور تنظیم کردن شرایط طبقهبندی در Press به کاربران نشان میدهد که اجازه استفاده از آن را ندارند. این آسیبپذیری توسط David Herrera از شرکت Alley Interactive گزارش شده است.
- WP_Query نسبت به تزریق SQL در هنگام عبور دادن دادههای ناامن، آسیبپذیر است. هسته ووردپرس مستقیماً نسبت به این مسئله آسیبپذیر نیست اما به علت اضافه کردن hardening برای جلوگیری از افزونهها و پسزمینهها تصادفاً باعث این آسیبپذیری شده است. این آسیبپذیری توسط Mo Jangda گزارش شده است.
- یک آسیبپذیری از نوع cross-site scripting در جدول لیست پستها کشف شده است. این آسیبپذیری توسط Ian Dunn از تیم امنیتی WordPress گزارش شده است.
تیم ووردپرس از تمام کسانی که این آسیبپذیریها را از طریق بخش responsible disclosure گزارش کردند تشکر میکند[۲].
تیم WordPress به تمامی استفادهکنندگان شدیداً توصیه میکند تا نسخه ۴٫۷٫۲ را از اینجا دانلود کنند[۳]؛ یا از طریق بخش داشبورد در ووردپرس به سادگی به بخش بهروزرسانیها رفته و بر روی گزینه Update Now کلیک کنند. وبسایتهایی که گزینه automatic background updates در آنها فعال است در حال حاضر به نسخه جدید ووردپرس یعنی ۴٫۷٫۲ بهروزرسانی شدهاند.
منابع
[۱]https://www.us-cert.gov/ncas/current-activity/2017/01/26/WordPress-Releases-Security-Update
[۲] https://make.wordpress.org/core/handbook/testing/reporting-security-vulnerabilities/
[۳] https://wordpress.org/download/
[۴] https://wordpress.org/news/2017/01/wordpress-4-7-2-security-release/
ثبت ديدگاه