در افزونه MW WP Form، یک آسیبپذیری با شناسه CVE-2023-6316 و شدت 9.8 شناسایی شده است که میتواند توسط مهاجم برای بارگذاری فایلهای مخرب در وبسایتهای آسیبپذیر مورد بهرهبرداری قرار گیرد.
این آسیبپذیری به کاربران اجازه میدهد تا فایلهای خود را بدون محدودیت در وبسایت بارگذاری کنند. در نسخههای آسیبپذیر این افزونه، یک نقص در کد برنامه وجود دارد که باعث میشود افزونه، فایلهای مخرب را بدون بررسی کافی، بارگذاری کند. این امر میتواند منجر به بارگذاری فایلهایی با پسوندهایی از جمله "php." و "exe." شود.
مهاجم میتواند با ارسال یک درخواست خاص به وبسایت آسیبپذیر، موجب شود که افزونه MW WP Form یک فایل مخرب را بارگذاری کند. این فایل میتواند شامل کد مخرب باشد که توسط مهاجم برای انجام اقدامات زیر استفاده شود:
• بارگذاری فایلهای مخرب که میتوانند دادههای وب سایت را حذف، ویرایش یا سرقت کنند.
• نصب نرمافزار مخرب که میتواند به سیستمهای قربانیان آسیب برساند.
• حملات DDoS که میتوانند عملکرد وب سایت را مختل کنند.
توصیههای امنیتی
برای محافظت دربرابر این آسیبپذیری، باید افزونه MW WP Form به نسخه 5.0.2 بهروز شود. همچنین، توصیه میشود اقدامات امنیتی زیر انجام شود تا از وبسایت در برابر آسیبپذیریهای مشابه محافظت شود:
• از افزونهها و قالبهای معتبر و به روز شده استفاده شود.
• از یک پلتفرم مدیریت امنیت (CMS) که به طور منظم بروزرسانی میشود استفاده شود.
• از یک سیستم امنیتی وب پیشرفته برای محافظت از وبسایت در برابر حملات استفاده شود.
منبعخبر:
[1] https://securityonline.info/cve-2023-6316-unauthenticated-arbitrary-file-upload-mw-wp-form/
- 19