فا

‫ گزارش آسیب پذیری در افزونه های wordpress

#‫آسیب_پذیری درافزونه های Ultimate Addons for Beaver Builder و Ultimate Addons for Elementor در تاریخ 13 دسامبر 2019 انتشار یافت، که به نفوذگر این امکان را میدهد که به سادگی مکانیزم احراز هویت را در این دو افزونه پراستفاده دور بزند و امکان دسترسی administrative به وب سایت را بدون نیاز به گذرواژه داشته باشد. تاکنون اطلاعاتی درمورد شماره CVE این آسیب پذیری منتشر نشده است. نکته نگران کننده اینجا است که نفوذگران از دو روز قبل از انتشار آسیب پذیری اقدام به بهره برداری از این آسیب پذیری نموده و به منظور داشتن دسترسی بعدی از backdoor استفاده کردند. هر دو افزونه ساخته شرکت توسعه نرم افزار Brainstorm Force هستند که به مدیران وب سایت ها و طراحان با ابزار ها، ماژول ها و قالب های بیشتر کمک به توسعه وب سایت خود میکنند. این آسیب پذیری به شکلی عمل می کند که به دارندگان حساب wordpress هردو افزونه، این امکان را میدهد که از طریق مکانیزم ورود فیس بوک و گوگل خود را تایید اعتبار نمایند. به دلیل عدم بررسی روش احراز هویت در هنگام ورود کاربر از طریق فیس بوک یا گوگل ، افزونه های آسیب پذیر می توانند به کاربران مخرب اجازه دهند مانند هر کاربر دیگر حتی administratorsبدون نیاز به گذرواژه وارد سیستم شوند.

نسخه های آسیب پذیر :
Ultimate Addons for Elementor <= 1.20.0
Ultimate Addons for Beaver Builder <= 1.24.0
راه حل :
شرکت توسعه دهنده، وصله های امنیتی برای این آسیب پذیری را به صورت زیر در دسترس قرار داده است. توصیه میشود این وصله ها در اسرع وقت نصب شوند.
Ultimate Addons for Elementor version 1.20.1
Ultimate Addons for Beaver Builder version 1.24.1


منبع :
https://thehackernews.com/2019/12/wordpress-elementor-beaver.html


نظرات

بدون نظر
شما برای نظر دادن باید وارد شوید

مشخصات خبر

تاریخ ایجاد: 1 دی 1398

امتیاز

امتیاز شما
تعداد امتیازها: 0