آسیب‌پذیری در افزونه‌ی وردپرس باعث در دست گرفتن کنترل سایت توسط هکرها می‌شود

مدیران سایت که از سیستم مدیریت محتوا وردپرس استفاده می‌کنند و افزونه‌ی Simple Social Buttons جهت به اشتراک‌گذاری مطالب سایت خود در شبکه‌های اجتماعی بر روی وردپرس نصب کرده‌اند، باید سریعاً اقدام به به‌روز رسانی این افزونه نمایند، چراکه آسیب‌پذیری کشف شده در آن موجب گرفتن کنترل سایت توسط نفوذگرها خواهد شد.

لوکا شیکیچ (Luka Šikić) توسعه‌دهنده و محقق امنیت سامانه‌های وردپرس در WebARX هفته‌ی گذشته آسیب‌پذیری بر روی افزونه Simple Social Buttons را کشف و به نویسندگان آن اطلاع داده و در روز ۱۱ فوریه گزارشی درباره این آسیب‌پذیری منتشر کرده است. در این گزارش می‌بینیم که طراحی نامناسب افزونه باعث عدم بررسی مجوز دسترسی در آن شده و این خود راهی را برای نفوذ هکرها به سیستم وردپرس فراهم می‌آورد. او می‌گوید در صورتی که هکر بتواند یک حساب کاربری جدید بر روی سایت بسازد، توانایی اکسپلویت کردن این آسیب‌پذیری و اعمال تغییرات بر روی تنظیمات اصلی سایت وردپرس، خارج از محدوده‌ی دسترسی تنظیمات خود افزونه را خواهد داشت. این اعمال تنظیمات غیر مجاز می‌تواند به هکر این اجازه را بدهد که یک Backdoor بر روی سایت نصب کند یا اینکه کنترل حساب کاربری admin را در دست بگیرد. در یک ویدئو demo که توسط این محقق بر روی یوتیوب منتشر شده است می‌بینیم که چگونه نفوذگر می‌تواند توسط این آسیب‌پذیری آدرس ایمیل کاربر admin که در تنظیمات اصلی سامانه وردپرس قرار دارد را تغییر دهد.

شیکیج در ادامه اعلام کرده است این آسیب‌پذیری را هفته‌ی پیش به کمپانی WPBrigade که سازندگان این افرونه هستند اعلام کرده است و آنها پس از یک روز، این آسیب‌پذیری را رفع کرده و نسخه‌ی به‌روز رسانی شده‌ی افزونه را منتشر کرده‌اند. به مدیران سایت‌هایی که از سیستم مدیریت محتوا وردپرس و این افزونه را استفاده می‌کنند هشدار داده می‌شود که افزونه خود را به نسخه‌ی ۲.۰.۲۲ که جمعه‌ی گذشته در تاریخ ۸ فوریه منتشر شده است ارتقا دهند.