کاروتک

تکنولوژی و علمی

تلویزیون و سینما

تلویزیون کاروتک

طبق اخباری که به تازگی منتشر شده،‌ کاربران باید فوراً افزونه وردپرس Essential Addons for Elementor را به‌روز کنند.

مشخص شده است که یک افزونه محبوب وردپرس که توسط بیش از یک میلیون سایت در سراسر جهان استفاده می‌شود، دارای نقص اجرای کد از راه دور یا همان RCE است که به عوامل مخرب احتمالی اجازه می‌دهد تا یک حمله درج فایل محلی را انجام دهند.

محقق امنیت وای یان میو تت از CberSecurity،‌ این آسیب‌پذیری را در ۲۵ ژانویه ۲۰۲۲ کشف کرد و در همان روز آن را به Patchstack گزارش داد. WPDeveloper، صاحب افزونه مورد بحث،‌ از قبل از این آسیب‌پذیری آگاه بود و قبلاً دو تلاش ناموفق برای رفع این مشکل انجام داده است.

 رفع مشکل

PatchStack توضیح می‌دهد:

آسیب‌پذیری گنجاندن فایل محلی به دلیل نحوه استفاده از داده‌های ورودی کاربر در داخل PHP شامل تابعی است که بخشی از توابع ajax_load_more و ajax_eael_product_gallery هستند.

تنها چیزی که سایت‌های آسیب‌پذیر به آن نیاز دارد، فعال کردن ویجت‌های گالری پویا  و گالری محصول است. نسخه‌های 5.0.3 و .50.4 هر دو سعی در رفع مشکل داشته‌اند که در نهایت در نسخه 5.0.5 حل شد. در حال حاضر، حدود ۴۰۰ هزار سایت این افزونه را ارتقا داده‌اند، به این معنی که تقریباً ۶۰۰ هزار سایت هنوز آسیب‌پذیر هستند.

کسانی که Essential Addons را برای Elementor اجرا می‌کنند، دو راه برای رفع مشکل دارند: یا دانلود آخرین نسخه از این لینک یا رفتن به داشبورد وردپرس و به‌روزرسانی مستقیم از آن‌جا.

افزونه‌های وردپرس در ماه‌های اخیر به عنوان یک ابزار احتمالی بسیار خوب برای هکرها تبدیل شده‌اند. در نوامبر ۲۰۲۱،‌ محققان نقسی در تصاحب سایت در افزونه پیش‌نمایش ایمیل‌های WooCommerce پیدا کرده‌اند درحالی که در دسامبر ۲۰۲۱، یک آسیب‌پذیری در افزونه محبوب WPS Hide Login می‌توانست به مهاجمان اجازه دسترسی به صفحه ورود به سیستم مدیریتی سایت را بدهد.

خبر خوب این است که صاحبان افزونه‌ها معمولاً در هنگام فاش شدن آسیب‌پذیری‌ها واکنش سریعی دارند. به مدیران وبسایت‌هایی که سایت‌های وردپرسی خود را اجرا می‌کنند، توصیه می‌شود که همه افزونه‌های خود را همیشه به‌روز نگه دارند تا خطر حمله را به حداقل برسانند.