در معرض حملات سایبری قرار گرفتن بیش از 2 میلیون سایت توسط یک آسیب‌پذیری جدید در افزونه محبوب وردپرس - مرکز پژوهشی آپا

از کاربران افزونه Advanced Custom Fields برای وردپرس خواسته شده است که نسخه ۶٫۱٫۶ را در پی کشف یک نقص امنیتی به‌روز کنند.

این مشکل که با شناسه CVE-2023-30777 شناخته داده شده است، مربوط به یک cross-site scripting یا XSS منعکس‌شده است که می‌تواند برای تزریق اسکریپت‌های اجرایی دلخواه به وب‌سایت‌هایی که در غیر این صورت بی‌خطر هستند، مورد سوءاستفاده قرار گیرد.

این افزونه که هم به‌صورت رایگان و هم نسخه حرفه‌ای در دسترس است، بیش از دو میلیون نصب فعال[۱] دارد. این مشکل در ۲ می ۲۰۲۳ کشف و به ووردپرس گزارش شد.

Rafie Muhammad، محقق Patchstack، دراین‌باره گفت[۲]: «این آسیب‌پذیری به هر کاربر تأیید نشده اجازه می‌دهد تا اطلاعات حساس را به سرقت ببرد تا در این مورد، با فریب دادن یک کاربر ممتاز برای بازدید از مسیر URL ساخته‌شده، امتیاز خود را در سایت وردپرس افزایش دهد».

حملات XSS منعکس‌شده[۳] معمولاً زمانی اتفاق می‌افتند که قربانیان فریب داده می‌شوند تا روی یک پیوند جعلی ارسال‌شده از طریق ایمیل یا مسیر دیگری کلیک کنند و باعث می‌شود کد مخرب به وب‌سایت آسیب‌پذیر ارسال شود، که حمله را به مرورگر کاربر منعکس می‌کند.

این عنصر مهندسی اجتماعی به این معنی است که XSS منعکس‌شده به‌اندازه حملات XSS ذخیره‌شده دسترسی و مقیاس ندارد، و عاملان تهدید را وادار می‌کند تا پیوند مخرب را تا حد امکان بین قربانیان توزیع کنند.

Imperva خاطرنشان می‌کند[۴]: «یک حمله XSS منعکس‌شده معمولاً نتیجه درخواست‌های دریافتی است که به‌اندازه کافی پاک‌سازی نشده‌اند، که امکان دست‌کاری عملکردهای یک برنامه وب و فعال‌سازی اسکریپت‌های مخرب را فراهم می‌کند.»

شایان‌ذکر است که CVE-2023-30777 را می‌توان در نصب یا پیکربندی پیش‌فرض فیلدهای سفارشی پیشرفته فعال کرد، اگرچه این کار فقط از طریق کاربران واردشده و دسترسی به افزونه امکان‌پذیر است.

این توسعه زمانی انجام شد که Craft CMS دو نقص XSS با شدت متوسط (CVE-2023-30177 و CVE-2023-31144) را اصلاح کرد که می‌توانست توسط یک عامل تهدید برای ارائه بارهای مخرب مورد بهره‌برداری قرار گیرد.

همچنین به دنبال افشای یک نقص XSS دیگر در محصول cPanel (CVE-2023-29489، امتیاز ۱/۶ در مقیاس CVSS) است که می‌تواند بدون هیچ‌گونه احراز هویت برای اجرای جاوا اسکریپت دلخواه مورد بهره‌برداری قرار گیرد.

Shubham Shah از Assetnote دراین‌باره گفت[۵]: “یک مهاجم نه‌تنها می‌تواند به پورت‌های مدیریت cPanel بلکه به برنامه‌هایی که در پورت ۸۰ و ۴۴۳ در حال اجرا هستند نیز حمله کند و اضافه کرد که می‌تواند به دشمن امکان دهد جلسه cPanel یک کاربر معتبر را هک کند.”

هنگامی‌که از طرف یک کاربر تأییدشده cPanel اقدام می‌کنید، آپلود یک پوسته وب و به دست آوردن اجرای دستور معمولاً بی‌اهمیت است.

منابع

[۱] https://wordpress.org/plugins/advanced-custom-fields

[۲] https://patchstack.com/articles/reflected-xss-in-advanced-custom-fields-plugins-affecting-2-million-sites

[۳] https://owasp.org/www-community/attacks/xss

[۴] https://www.imperva.com/learn/application-security/reflected-xss-attacks

[۵] https://blog.assetnote.io/2023/04/26/cpanel-xss-advisory

[۶] https://thehackernews.com/2023/05/new-vulnerability-in-popular-wordpress.html