حفره امنیتی در WPBakery وردپرس به مهاجمان اجازه تزریق کد مخرب را می‌دهد

آسیب‌پذیری در افزونه صفحه‌ساز WPBakery وردپرس به هکرها اجازه آپلود و اجرای کدهای مخرب را می‌دهد

یک هشدار امنیتی برای افزونه محبوب WPBakery منتشر شده؛ همان افزونه‌ای که روی هزاران قالب وردپرسی به صورت پیش‌فرض نصب شده است. این آسیب‌پذیری به هکرها (البته آن‌هایی که به نوعی به سایت دسترسی دارند) اجازه می‌دهد اسکریپت‌های مخرب را به سایت تزریق کنند و این اسکریپت‌ها زمانی که کاربری از صفحه آلوده بازدید می‌کند، اجرا می‌شوند.

افزونه WPBakery چیست؟

WPBakery که خیلی‌ها آن را با نام «ویژوال کامپوزر» هم می‌شناسند، یک افزونه صفحه‌ساز درگ اند دراپ (کشیدن و رها کردن) برای وردپرس است که به کاربران اجازه می‌دهد بدون حتی یک خط کدنویسی، صفحات و طرح‌بندی‌های دلخواهشان را بسازند. این افزونه معمولاً همراه با قالب‌های پریمیوم (پولی) عرضه می‌شود. طراحان قالب با خرید لایسنس این افزونه، قابلیت صفحه‌سازی آسان و بصری را به قالب‌های وردپرسی خودشان اضافه می‌کنند.

مشکل امنیتی WPBakery کجاست؟

مشکل از اینجا شروع می‌شود که طبق گزارش منتشر شده، افزونه صفحه‌ساز WPBakery در ماژول «جاوا اسکریپت سفارشی» (Custom JS)، ورودی‌ها را به اندازه کافی پاک‌سازی (Input Sanitization) نمی‌کند و خروجی‌ها را هم به درستی اِسکِیپ (Output Escaping) نمی‌کند.

وقتی پاک‌سازی ورودی و اِسکِیپ کردن خروجی ضعیف باشد، هکرها می‌توانند کدهای مخرب را در سایت شما آپلود کنند و کاری کنند که سایتتان همان کدهای مخرب را به بقیه نمایش دهد. به طور کلی، این جور ضعف‌ها می‌تواند منجر به آسیب‌پذیری‌های خطرناکی مثل XSS (Cross-Site Scripting) و تزریق SQL (SQL Injection) بشود.

  • پاک‌سازی ورودی (Input Sanitization): یعنی داده‌هایی که کاربر وارد می‌کند، قبل از اینکه ذخیره یا پردازش شوند، فیلتر و تمیزکاری می‌شوند تا کد مخربی در آن‌ها نباشد.
  • اِسکِیپ کردن خروجی (Output Escaping): یعنی کاراکترهای خاصی که در HTML معنی و کاربرد دارند (مثل > یا <)، قبل از نمایش در صفحه، به کدهای بی‌خطر تبدیل می‌شوند. این کار جلوی اجرای کدهای مخرب روی مرورگر کاربران سایت را می‌گیرد.

این باگ امنیتی به هکرها اجازه می‌دهد تا با داشتن دسترسی سطح «مشارکت‌کننده» (Contributor) یا بالاتر، هر اسکریپت دلخواهی را به سایت‌های آسیب‌پذیر تزریق کنند. این آسیب‌پذیری روی تمام نسخه‌های افزونه WPBakery تا نسخه 8.6.1 (و خود این نسخه) وجود دارد.

توصیه اکید می‌کنیم که اگر از این افزونه استفاده می‌کنید، هرچه سریع‌تر آن را به آخرین نسخه، یعنی نسخه 8.7، آپدیت کنید.

پاسخی بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *