به صاحبان سایتهای #WordPress که از افزونهی "Total Donations" استفاده میکنند، توصیه میشود که این افزونه را از سرورهای خود حذف کنند تا از سواستفادهی هکرها برای بهرهبرداری از یک آسیبپذیری وصلهنشده در کد آن جلوگیری کنند.
این آسیبپذیری روز صفرم (CVE-2019-6703)، همهی نسخههای Total Donations ازجمله 2.0.5 را تحت تأثیر قرار میدهد. Total Donations یک افزونهی تجاری است که صاحبان سایت از آن برای جمعآوری و مدیریت کمکهای مالی از پایگاههای کاربران مربوطهی خود استفاده میکنند.
به گفتهی محققان، کد این افزونه شامل چندین عیب طراحی است که بهطور ذاتی، افزونه و سایت وردپرس را در معرض نمایش هکرهای خارجی و کاربران دیگر قرار میدهد.
این افزونه حاوی نقطهی پایانی AJAX است که میتواند توسط هر مهاجم ناشناس راه دور درخواست شود. نقطهی پایانی AJAX در یکی از فایلهای افزونه واقع شده است، به این معنی که غیرفعال کردن افزونه، خطر تهدید را از بین نمیبرد؛ زیرا مهاجمان میتوانند بهطور مستقیم آن فایل را فراخوانی کنند و تنها حذف کامل افزونه میتواند سایتها را در برابر سوءاستفاده محافظت کند.
نقطهی پایانی AJAX به مهاجم اجازه میدهد تا مقادیر تنظیمات هستهی سایت وردپرس، تنظیمات مرتبط با افزونه و حساب مقصد کمک دریافتشده از طریق افزونه را تغییر دهد و حتی لیستهای Mailchimp (که این افزونه بهعنوان ویژگی جانبی پشتیبانی میکند) را بازیابی کند.
بهگفتهی محققان، تمام تلاشها برای تماس با توسعهدهندهی این افزونه بیفایده است. بهنظر میرسد که سایت توسعهدهنده در ماه مه سال 2018 غیرفعال شده است و فهرست محصولات CodeCanyon این افزونه در همان زمان غیرفعال شدهاند.
این افزونه دارای کاربران زیادی نیست، با این حال، به احتمال زیاد در سایتهای فعال با پایگاههای کاربری بزرگ نصب شده است و میتواند هدف خوبی برای هکرها باشد، از این رو به صاحبان سایتها توصیه میشود که این افزونه را بهطور کلی از سایتهای خود حذف کنند تا از حملات در امان بمانند.
- 8