ماه گذشته آسیبپذیری اجرای کد از راه دور در سامانه مدیریت محتوی وردپرس نسخه ۵.۰ گزارش شد. این آسیبپذیری در نسخه ۵.۱ وردپرس نیز کشف شده است. این آسیبپذیری به مهاجم احراز هویت نشده اجازه اجرای کد از راه دور را میدهد.
هرچه سریعتر وردپرس خود را به نسخه ۵.۱.۱ ارتقاء دهید.
مهاجم از طریق این آسیب پذیری قادر خواهد بود کنترل وب سایتی که در آن امکان ثبت نظر (Comment) فعال باشد، را بدست بگیرد. کافی است مهاجم با ثبت یک لینک در بخش نظرات مدیر وب سایت را به مشاهده وب سایت آسیب پذیر ترقیب کند.
با مشاهده وب سایت بدخواه توسط مدیر، بدون آن که مدیر متوجه شود یک حمله CSRF در پس زمینه اجرا می شود. مهاجم از این طریق با اجرای کد از راه دور قادر خواهد بود کنترل وب سایت را بدست بگیرد.
این آسیب پذیری برای نسخه های قبل از ۵.۱.۱ با تنظیمات پیش فرض وردپرس قابل بهره برداری است.
سامانه مدیریت محتوی وردپرس بیش از ۳۳ درصد وب سایت های موجود بر روی روی اینترنت را به خود اختصاص می دهد. با توجه به این که ثبت نظر در این وب سایت از ویژگی های اصلی آن محسوب می شود و به صورت پیش فرض نیز فعال است، این آسیب پذیری میلیون ها وب سایت را تحت تاثیر قرار خواهد داد.
جزئیات تخصصی این آسیب پذیری را از اینجا مطالعه بفرمایید.
مطالب مرتبط:
وردپرس: اولین وصله امنیتی نسخه ۵ منتشر شد!
رفع آسیبپذیری بحرانی پلاگین معروف WooCommerce وردپرس – ویدیو
حمله به بیش از ۲۰۰۰۰ وب سایت وردپرس
