Chat with us, powered by LiveChat

مش هنقدر نوضح لكم حجم المشكلة إلا أنها مصيبة!!

ظهرت ثغرة فادحة في تعليقات الووردبريس

وإللي أعلن عنها Klikki

إتحددت خطورة الثغرة بانها : Critical Zero Day vulnerability

من النوع : Cross-Site Scripting (XSS)

wordpress-logo

بإختصار الثغرة في التعليقات .. و اللي بكل سهولة بتمنح المهاجمAttacker إنه يضيف javascript كود في التعليق علي اي موضوع

و بعد مراجعة اﻻدمين للتعليق..بيقدر منها إنه يفتح باب خلفي للإختراق او ما يسمى Backdoor

و من هنا بيقدر المهاجم إنه يوصل للتحكم في حسابات مديرين الموقع ويتحكم في كلمات المرور بتاعتهم وبيقدر طبعا يمسح حسابتهم او يضيف حسابات مديرين جديدة دون ان يشعروا.

 

ده فيديو بيوضح فيه مكتشف الثغرة إزاي بيستغلها :

 

المشكلة الأكبر إن مكتشف الثغرة أعلن إنه حاول يتواصل مع فريق الحماية للووردبريس علشان يبلغهم بالثغرة لكنهم رفضوا كل طرق التواصل معاه من بإنهم ماردوش علي اي من طريقة تواصل إستخدمها.

إلا انه بعتلهم إيميل رسمي بالثغرة علشان يصلحوها ولحد إنهارده ماحدش إستجاب او رد عليه من وقت اكتشافه للثغرة في 20 نوفمبر 2014

الثغرة شغالة علي إصدارات الووردبريس : 4.2, 4.1.2, 4.1.1, 3.9.3

مع إصدار قواعد البيانات 5.1.53 و 5.5.41

wordpress_fix

لحد دلوقتى wordpress.org ما اتكلمش عن الثغرة ومافيش اى ترقيع او تحديث رسمي للمشكلة دي

 

إحنا في المستضيفون العرب خدنا احتياطاتنا من لحظة معرفتنا بالثغرة..و قام المطوريين بالمستضيفون العرب بعمل حل مؤقت و ترقيع للثغرة وتطبيقها علي جميع المواقع المدارة من خلالنا. 🙂

screenshot-wp-xss-comment

وبالتأكيد في حالة إن الووردبريس اصدرت ترقيع رسمي يفضل الرجوع للترقيع الرسمي.

 

تحديث

أصدرت الووردبريس حالا تحديث جديد برقم 4.2.1 بعد صدور النسخة 4.2 قبل 3 ايام تقريبا من إعلان الثغرة

و في التحديث اعترفوا بوجود الثغرة المؤثرة بشكل مباشر علي البرمجة وقالوا إنهم صلحوا المشكلة

wp comment fix

تقدروا تعملوا تحديث لسنخة الووردبريس في مواقعكم بسرعة 🙂

Leave A Comment

%d مدونون معجبون بهذه: