نسخه ۴٫۷٫۱ برنامه WordPress و نسخه‌های قبلی آن تحت تأثیر چندین آسیب‌پذیری قرار دارند. یک مهاجم از راه دور می‌تواند با بهره‌برداری از این آسیب‌پذیری‌ها کنترل وب‌سایت آلوده شده را دردست گیرد.

ووردپرس

به کاربران و مدیران وب‌سایت‌ها پیشنهاد می‌شود تا به‌روزرسانی جدید ووردپرس را مورد بررسی قرار داده و ووردپرس خود را به نسخه ۴٫۷٫۲ به‌روزرسانی کنند[۱].

نسخه ۴٫۷٫۲ در حال حاضر در دسترس است. این نسخه دربردارنده به‌روزرسانی‌های امنیتی است که تمامی نسخه‌های قبلی ووردپرس را شامل شده و به‌شدت توصیه می‌شود که وب‌سایت خود را به‌روزرسانی کنید.
WordPress نسخه ۴٫۷٫۱ و قبل از آن تحت تأثیر ۳ مشکل امنیتی بودند که در اینجا آورده شده است:

  1. رابط کاربری به منظور تنظیم کردن شرایط طبقه‌بندی در Press به کاربران نشان می‌دهد که اجازه استفاده از آن را ندارند. این آسیب‌پذیری توسط David Herrera از شرکت Alley Interactive گزارش شده است.
  2. WP_Query نسبت به تزریق SQL در هنگام عبور دادن داده‌های ناامن، آسیب‌پذیر است. هسته ووردپرس مستقیماً نسبت به این مسئله آسیب‌پذیر نیست اما به علت اضافه کردن hardening برای جلوگیری از افزونه‌ها و پس‌زمینه‌ها تصادفاً باعث این آسیب‌پذیری شده است. این آسیب‌پذیری توسط Mo Jangda گزارش شده است.
  3. یک آسیب‌پذیری از نوع cross-site scripting در جدول لیست پست‌ها کشف شده است. این آسیب‌پذیری توسط Ian Dunn از تیم امنیتی WordPress گزارش شده است.

تیم ووردپرس از تمام کسانی که این آسیب‌پذیری‌ها را از طریق بخش responsible disclosure گزارش کردند تشکر می‌کند[۲].

تیم WordPress به تمامی استفاده‌کنندگان شدیداً توصیه می‌کند تا نسخه ۴٫۷٫۲ را از اینجا دانلود کنند[۳]؛ یا از طریق بخش داشبورد در ووردپرس به سادگی به بخش به‌روزرسانی‌ها رفته و بر روی گزینه Update Now کلیک کنند. وب‌سایت‌هایی که گزینه automatic background updates در آن‌ها فعال است در حال حاضر به نسخه جدید ووردپرس یعنی ۴٫۷٫۲ به‌روزرسانی شده‌اند.

منابع

[۱]https://www.us-cert.gov/ncas/current-activity/2017/01/26/WordPress-Releases-Security-Update

[۲] https://make.wordpress.org/core/handbook/testing/reporting-security-vulnerabilities/

[۳] https://wordpress.org/download/

[۴] https://wordpress.org/news/2017/01/wordpress-4-7-2-security-release/