وردپرس 4.8.2 با 9 بروزرسانی امنیتی فوق مهم منتشر شد!

وردپرس 4.8.2 با 9 بروزرسانی امنیتی فوق مهم منتشر شد!

وردپرس 4.8.2 یکی از مهمترین بروز‌رسانی‌های تاریخ وردپرس است که تا کنون منتشر شده است. در این نسخه 9 آسیب پذیری مهم امنیتی در بخش های نفوذ به دیتابیس (SQL Injection) وبسایت کشف و رفع شده است.

بنابراین اکیدا توصیه می کنیم اگر هنوز وردپرس خود را بروز نکردید، در اسرع وقت این کار را انجام دهید…

شماره نسخه 4.8.2
وضعیت انتشار Final
نوع بروزرسانی امنیتی
اطلاعات این نسخه جزییات وردپرس 4.8.2
دانلود http://wordpress.org/wordpress-4.8.2.zip
نوع لایسنس GPL

هاست ویژه وردپرسمشاهده پکیج‌های هاست وردپرس

 

حفره های امنیتی که در وردپرس 4.8.2 کشف و رفع شده اند

1- $wpdb->prepare() کدیست که به طور غیر منتظره می تواند منجر به نفوذ به دیتابیس یا همان SQL Injection شود. هر چند این حفره به طور مستقیم متوجه هسته وردپرس نیست اما یک فرصت بالقوه برای برخی قالب ها و پلاگین هایی است که می توانند با سوء استفاده از آن منجر به آسیب های جبران ناپذیر شوند. بنابراین وردپرس 4.8.2 با اتخاذ تدابیری امکان سوء استفاده از این بخش را کور کرده است.
 

2- پنج آسیب پذیری مهم XSS در ارتباط با بخش های زیر در در وردپرس 4.8.2 کشف و رفع شده است:
کدهای oEmbed
ویرایشگر بصری (Visual Editor)
ویرایشگر پلاگین
پروتکل های نام قالب
فرایندهای ایجاد لینک

XSS یا Cross-Site Scripting یک نوع فعالیت مخرب است که در ابتدا مجموعه ای از کدهای برنامه ریزی شده را در قالب یک فایل یا تغییر فایل های موجود به فضای هاست تزریق کرده و از زیرساخت آن استفاده می کند تا به یک وبسایت دیگر که هدف اصلیست آسیب وارد کند. این نفوذ معمولا از طریق وبسایت هایی صورت میپذیرد که پروتکل های ورودی آن ها رمز نگاری نشده باشد. از شایع ترین نمودهای این نوع حمله ایجاد فایل های html در محل نصب وردپرس است.

 

3- این آسیب پذیری با عنوان Open Redirect در بخش ویرایش کاربران و قوانین نمود پیدا کرده است.

Open Redirect یک نقص امنیتی در اپلیکیشن ها و صفحات وبسایت است که منجر به عدم تایید صحیح آدرس ها (Urls) می شود.
هنگامی که برنامه ها و صفحات وبسایت جهت دریافت محتوا به یک آدرس یا Url مراجعه می کنند تصور می کنند که این آدرس مبتنی بر آدرس دامنه ای است که در آن ذکر شده است. این تصور درست است اما Open Redirect نقصی است که می تواند از این قاعده استفاده کرده و به جای آدرس صحیح آدرس مورد نظر خود را جایگزین کند. بنابراین مهاجمان، کاربران آن وبسایت یا اپلیکیشن را به یک صفحه سوم با احتمالا محتوای مخرب یا گول زننده هدایت می کنند.

 

4- آسیب پذیری های وردپرس 4.8 همینجا به Path Traversal ختم می شوند. این حفره امنیتی می توانست منجر به آپلود فایل های مخرب در وبسایت وردپرسی شما شود که خوشبختانه در بخش سفارشی سازی قالب کشف و در نسخه جدید وردپرس رفع شده است.

Path Traversal یک نقص امنیتی است که منجر به امکان دسترسی مهاجمان به دایرکتوری ها یا پوشه های محدودی از وبسایت می شود. فرد مهاجم با این دسترسی می تواند فایل هایی را خارج از مسیر اصلی نصب وردپرس اجرا کند.

 

علاوه بر بروزرسانی‌های امنیتی، وردپرس 4.8.2 پیام آور 6 رفع اشکال فنی در بخش های نوشتاری و ویرایش ابزارک ها نیز بوده است.

 

تغییرات وردپرس 4.8.2 در چه فایل ها و مسیرهایی اجرا شده است؟

wp-admin/about.php
wp-admin/edit-tag-form.php
wp-admin/includes/class-wp-plugins-list-table.php
wp-admin/includes/file.php
wp-admin/includes/template.php
wp-admin/install.php
wp-admin/js/widgets/text-widgets.js
wp-admin/js/widgets/text-widgets.min.js
wp-admin/plugin-editor.php
wp-admin/plugins.php
wp-admin/setup-config.php
wp-admin/theme-editor.php
wp-admin/user-edit.php
wp-includes/class-wp-customize-manager.php
wp-includes/embed.php
wp-includes/formatting.php
wp-includes/js/mce-view.js
wp-includes/js/mce-view.min.js
wp-includes/js/tinymce/plugins/wplink/plugin.js
wp-includes/js/tinymce/plugins/wplink/plugin.min.js
wp-includes/js/tinymce/wp-tinymce.js.gz
wp-includes/js/twemoji.js
wp-includes/js/twemoji.min.js
wp-includes/js/wp-emoji-loader.js
wp-includes/js/wp-emoji-loader.min.js
wp-includes/js/wp-emoji-release.min.js
wp-includes/js/wplink.js
wp-includes/js/wplink.min.js
wp-includes/script-loader.php
wp-includes/version.php
wp-includes/widgets/class-wp-widget-text.php
wp-includes/wp-db.php

 

تاریخچه بروزرسانی‌های وردپرس

 

منابع
درباره نویسنده
سجاد ابراهیمی
سجاد سالهاست که در حوزه وب هاستینگ و مدیریت سرور فعالیت می کند، او عاشق طبیعت، کوه نوردی و طراحی گرافیک هست و سعی می کند به عنوان هماهنگ کننده در های‌ساپورت بهترین ها را برای کاربران فراهم کند.
2 دیدگاه برای “وردپرس 4.8.2 با 9 بروزرسانی امنیتی فوق مهم منتشر شد!
  1. آرش - 3 مهر, 1396 at 5:26 ب.ظ

    ممنون مطلب مفیدی بود.
    وردپرس من خودش بروز شده

    پاسخ

دیدگاه خود را ارسال کنید