اتصالات:
info@edu-cisco.org
ثغرة جديدة في ملحق wpDiscuz الخاص بـ WordPress تهدد 35 ألف موقع ماجستير أمن المعلومات غيابيا باكو

ثغرة جديدة في ملحق wpDiscuz الخاص بـ WordPress تهدد 35 ألف موقع ماجستير أمن المعلومات غيابيا باكو

مقالات

اكتشف الخبراء مؤخرًا ثغرة أمنية خطيرة في المكون الإضافي wpDiscuz الذي تم إنشاؤه لـ WordPress. وبحسب التقديرات الأولية، فإن 35 ألف موقع مختلف معرضة للخطر. حتى الآن درجة الماجستير في أمن المعلومات بدوام جزئي باكو تمت استعادة البرنامج المساعد بالكامل.

لماذا يعتبر البرنامج المساعد الذي تم العثور عليه خطيرًا، برنامج درجة الماجستير في أمن المعلومات غيابيًا باكو

يتم استخدام البرنامج الإضافي الشهير wpDiscuz بواسطة حوالي 70 ألف موقع يديره WordPress. اكتشف المحللون ثغرة أمنية في الإصدار 7.0.0 من البرنامج المساعد منذ أكثر من شهر. وتبين أن الخطأ خطير للغاية، حيث سجل أكبر عدد من النقاط على مقياس CVSS. وهذا يعني أنه يمكن استخدامه عن بعد من قبل مستخدم غير مصرح له. المتخصصين الذين اجتازوا دورات بالمراسلة أمن المعلومات باكو، لاحظ أن مثل هذه الثغرات الأمنية شائعة في مكونات WordPress الإضافية.

يمكن استغلال الثغرة الأمنية الموجودة في wpDiscuz على النحو التالي:

  • تحميل ملف من أي نوع ليس صورة إلى الخادم؛
  • تشغيل الملف؛
  • اكتساب القدرة على تنفيذ التعليمات البرمجية عن بعد.

تسمح هذه الصلاحيات للمهاجمين بسرقة المعلومات الحساسة من الموقع المستهدف. علاوة على ذلك، يمكنك التأثير على تشغيل المورد وتوافره، وإضافة العناصر الخاصة بك إلى الصفحات. سارع منشئو المكون الإضافي إلى إصدار تحديث للإصدار الضعيف من wpDiscuz. ولكن تم القضاء على الخطأ بشكل فعال فقط بحلول نهاية شهر يوليو في الإصدار 7.0.6. ومع ذلك، اليوم التدريب الفني لأمن المعلومات باكو تم استعادته بالكامل، ولا يشكل تهديدًا لأصحاب الموارد الإلكترونية. لذلك، يجب ألا ترفض استخدام البرنامج الإضافي؛ فقط قم بتثبيت أحدث إصدار له.

لماذا تحتاج إلى إصلاح نقاط الضعف

كما لاحظ مطورو wpDiscuz، فإن معظم المواقع التي تستخدم المكونات الإضافية الخاصة بهم قامت بتحديث الإصدار تلقائيًا. وبالتالي، بقي 35 ألف فقط من الموارد في خطر. وفي غضون أسبوع، انخفض عدد المواقع المعرضة للخطر إلى 5 آلاف. لاحظ ممثلو فريق التطوير أيضًا أن البرنامج المساعد يقوم بتحديث ما لا يقل عن 3 آلاف موقع يوميًا. وهذا يعني أنه في غضون يومين لا ينبغي أن يكون هناك مورد إلكتروني واحد بالغ الأهمية حشرة. من المؤسف أنه ليس كل مطوري مكونات WordPress الإضافية يعملون بكفاءة وسرعة.

يذكرك منشئو wpDiscuz بذلك أيضًا حماية المعلومات على شبكة الإنترنت عمل بحثي باكو يعتمد إلى حد كبير على أصحاب الموقع. إذا قمت بتثبيت كافة التحديثات الضرورية في الوقت المحدد، فإن فرصة التعرض للخطر بسبب أي خطأ ستكون ضئيلة. في معظم الحالات، يتمكن المهاجمون فقط من مهاجمة تلك المواقع التي لم يقوم أصحابها بتحديث جميع المكونات الضرورية في الوقت المناسب، مما يترك ثغرة للمتسللين. بعد كل شيء، تهدف معظم التحديثات على وجه التحديد إلى القضاء على الأخطاء في مجال الأمن السيبراني.

فريق جامعة سيديكوم: أكاديمية سيسكو, معهد لينكس المهني, معهد بايثون.