هفته پیش WordPress سه مشکل امنیتی را برطرف کرد[۱]، اما دیروز (۳۱ ژانویه ۲۰۱۷) این شرکت یک آسیب‌پذیری then-secret zero-day را افشا کرد که به مهاجمان غیرمجاز راه دور اجازه می‌داد تا محتویات هر پست یا صفحه‌ای را در سایت WordPress ویرایش کنند.

این اشکال در بخش REST API در WordPress قرار داشته که منجر به ایجاد دو آسیب‌پذیری می‌شود: افزایش سطح دسترسی از راه دور و اشکالات تزریق محتوا.

REST API

WordPress معروف‌ترین سیستم مدیریت محتوا است که در میلیون‌ها وب‌سایت مورد استفاده قرار می‌گیرد. این سیستم مدیریت محتوا اخیراً گزینه REST API را در WordPress نسخه ۴٫۷٫۰ اضافه و فعال کرده بود.

این اشکال به مهاجمان غیرمجاز  اجازه می‌دهد تا بینندگان را به بهره‌بردارهای مخرب هدایت کنند.

این آسیب‌پذیری به‌سادگی قابل بهره‌برداری شدن است و بر روی نسخه‌های ۴٫۷ و ۴٫۷٫۱ در قسمت سیستم مدیریت محتوای WordPress تأثیرگذار است و به مهاجم غیرمجاز اجازه می‌دهد تا تمامی صفحات وب‌سایت‌های وصله نشده را ویرایش کند و بینندگان این وب‌سایت‌ها را به بهره‌بردارهای مخرب و تعداد زیادی از حملات هدایت می‌کند.

این آسیب‌پذیری توسط Marc-Alexandre Montpas از شرکت Sucuri  کشف و به تیم امنیتی WordPress گزارش شد و درنتیجه WordPress این موضوع را به‌خوبی مدیریت کرده و یک وصله امنیتی برای آن منتشر کرد؛ اما هیچ‌گونه جزئیاتی در ارتباط با این اشکال فاش نشد چراکه می‌خواستند مهاجمان را قبل از وصله کامل وب‌سایت، از مورد بهره‌برداری قرار دادن این اشکال دور نگه دارند.

Montpas  در یک وبلاگ نوشته است[۲]: “این آسیب‌پذیری افزایش سطح دسترسی بر روی بخش REST API در WordPress تأثیرگذار است. یکی از این نقطه‌های پایانی در REST اجازه دسترسی از طریق API برای مشاهده، ویرایش، پاک کردن و ساختن پست‌ها را می‌دهد.”

این مشکل در تاریخ ۲۲ ژانویه ۲۰۱۷ کشف شده بود و در تاریخ ۲۶ ژانویه ۲۰۱۷ وصله امنیتی مربوط به آن در نسخه ۴٫۷٫۲ منتشر شده بود[۳] و در دسترس وب‌سایت‌هایی که از سیستم مدیریت محتوا استفاده می‌کنند قرار گرفته بود.

مسئولین امنیتی شرکت Sucuri  و تیم امنیتی WordPress به مدت یک هفته و با کمک یکدیگر توانستند وصله مورد نظر را در یک دوره کوتاه آماده‌سازی و نصب کنند و از صحت آن قبل از در اختیار گفتن عموم اطمینان حاصل کردند.

همچنین این شرکت به شرکت‌های امنیتی نظیر SiteLock ،Cloudflare و Incapsula در بازه زمانی ۹ روزه بین کشف و انتشار وصله مورد نظر هشدار داده بود.

Aaron Campbell که یکی از مدیران ارشد WordPress است در ارتباط با تأخیر در افشای این آسیب‌پذیری این‌گونه توضیح می‌دهد[۴]: “ما اعتقاد داریم که شفافیت در این مسائل به نفع مردم است و در این مورد ما از روی قصد افشاسازی در ارتباط با این مشکل را یک هفته به تعویق انداختیم تا نسبت به امنیت میلیون‌ها وب‌سایت که از WordPress استفاده می‌کنند، مطمئن شویم. اطلاعات دریافتی از تمامی چهار WAF و میزبان‌های WordPress هیچ‌گونه نشانه‌ای از این آسیب‌پذیری که در سطح اینترنت مورد بهره‌برداری قرار گرفته باشد، نشان ندادند. در نتیجه، ما تصمیم گرفتیم تا افشاسازی در ارتباط با این آسیب‌پذیریِ خاص را به تأخیر بیندازیم تا به به‌روزرسانی‌های خودکار اجازه دهیم تا وصله مورد نظر را در وب‌سایت‌های مربوطه نصب کرده و از محافظت کاربران قبل از افشا شدن این آسیب‌پذیری اطمینان حاصل کنیم.”

سیستم مدریت محتوای خود را هم‌اکنون به‌روزرسانی کنید.

این اشکال در رده‌بندی آسیب‌پذیری‌های حیاتی دسته بندی شده است، هرچند این وصله بعد از چند ساعت از منتشر شدن آن، به صورت خودکار بر روی میلیون‌ها وب‌سایت که از WordPress استفاده می‌کنند نصب شده است.

به منظور دستیابی به اطلاعات فنی بیشتر در مورد این آسیب‌پذیری شما می‌توانید به وبلاگ رسمی شرکت Sucuri مراجعه کنید[۵].

به مدیران WordPress که هنوز این وصله امنیتی را بر روی وب‌سایت خود اعمال نکردند به شدت توصیه می‌شود تا سیستم مدیریت محتوای خود را به نسخه ۴٫۷٫۲ به‌روزرسانی کنند.

منابع

[۱] https://apa.aut.ac.ir/?p=2079

[۲] https://blog.sucuri.net/2017/02/content-injection-vulnerability-wordpress-rest-api.html

[۳] https://wordpress.org/news/2017/01/wordpress-4-7-2-security-release/

[۴]https://make.wordpress.org/core/2017/02/01/disclosure-of-additional-security-fix-in-wordpress-4-7-2/

[۵] https://blog.sucuri.net/2017/02/content-injection-vulnerability-wordpress-rest-api.html

[۶] http://thehackernews.com/2017/02/wordpress-exploit-patch.html