خطر نفوذ به سیستم مدیریت محتوای «وردپرس»
تاریخ انتشار: ۲۸ مرداد ۱۳۹۷ | کد خبر: ۲۰۲۲۱۷۲۲
به گزارش خبرگزاری مهر به نقل از مرکز ماهر، محقق امنیت سایبری مرکز Secarma ، به تازگی یک آسیب پذیری بر روی زبان PHP منتشر کرده که بخش Installations سیستم مدیریت محتوای سایت وردپرس ( Wordpress ) را آسیب پذیر خواهد کرد. بر اساس گزارش منتشره، این آسیب پذیری که از نوع Code Execution بوده در تاریخ ۲۸ فوریه ۲۰۱۷ به تیم امنیتی وردپرس گزارش شده، اما تا به امروز این آسیب پذیری رفع نشده است.
بیشتر بخوانید:
اخباری که در وبسایت منتشر نمیشوند!
این آسیب پذیری تنها سیستم مدیریت محتوا Wordpress را هدف نمی گیرد، چراکه آسیب پذیری در زبان برنامه نویسی PHP بوده و تمامی اپلیکیشن های مبتنی بر پی اچ پی ( PHP-based ) را تحت تأثیر خود قرار خواهد داد.
این آسیب پذیری در ساختار Deserialization زبان برنامه نویسی PHP وجود دارد که همان عملکرد بازگرداندن String ها به PHP Object ها بوده و از سال ۲۰۰۹ که اولین بار محقق امنیت سایبری آلمانی به نام Stefan Esser حمله موفقیت آمیز به ساختار Deserialization را منتشر کرد، بارها آسیب پذیری های مشابه و Exploit های آنها توسط روش های مختلف منتشر شده که باعث حملات مختلف علیه سرورها و اپلیکیشن PHP ها شده است.
آسیب پذیری جدید منتشر شده باعث می شود که نفوذگر بتواند داده های مد نظر خود را روی سرور قربانی آپلود کند. این خود باعث می شود که راهی برای فراخوانی phar:// را برای نفوذگر فراهم کند در نهایت امکان اجرای کدهای آلوده روی سرور قابل انجام خواهد بود.
این آسیب پذیری روی پروسه عملکرد توابع thumbnail در سیستم مدیریت محتوا Wordpress اثر می گذارد و در صورت آپلود فایلهای عکس آلوده روی سرور مدنظر، امکان Exploit کردن این آسیب پذیری برای نفوذگر فراهم می شود.
در تحقیقات اولیه علاوه بر وردپرس، سیستم مدیریت محتوا Typo۳ و Contao هم دارای این آسیب پذیری هستند.
برای انجام این حمله به وردپرس، دو فایل متفاوت Payload ، یکی برای نسخه ۴.۹ و دیگری برای نسخه های پایین تر باید آماده شود. برخلاف وردپرس که تا این لحظه به روز رسانی برای رفع آسیب پذری فوق ارائه نکرده است، تیم پشتیبانی Typo۳ در آخرین به روزرسانی خود این آسیب پذیری را رفع کرده است.
این آسیب پذیری در هفته گذشته در دو کنفرانس BlackHat و BSides معرفی شده است. همچنین روی کتابخانه TCPDF هم وجود دارد که برای کار کردن با فایلهای PDF در زبان PHP است.
مرکز ماهر از کاربران خواست که برای جلوگیری از حمله علیه این CMS ها و کتابخانه های مشابه، به روزرسانی هایی که در چند روز آینده ارائه خواهند شد را حتما روی سامانه های خود اعمال کنند.
وردپرس یک سیستم مدیریت محتوا برای سایتها و وبلاگها است. به بیان دیگر وردپرس یک سیستم رایگان وبلاگ نویسی است که به صورت یک CMS یا نرمافزار متن باز برای مدیریت محتوای سایتها معرفی شده است.
کد خبر 4379039 معصومه بخشی پورمنبع: مهر
کلیدواژه: امنیت اطلاعات مرکز ماهر هکرها مردم علیه احتکار نوآوری معاونت علمی و فناوری ریاست جمهوری تحقیقات علمی فناوری نانو فناوری فضایی موبایل شرکت دانش بنیان امنیت اطلاعات سلول بنیادی گوگل سورنا ستاری گوشی هوشمند ایالات متحده آمریکا سازمان فضایی ایران
درخواست حذف خبر:
«خبربان» یک خبرخوان هوشمند و خودکار است و این خبر را بهطور اتوماتیک از وبسایت www.mehrnews.com دریافت کردهاست، لذا منبع این خبر، وبسایت «مهر» بوده و سایت «خبربان» مسئولیتی در قبال محتوای آن ندارد. چنانچه درخواست حذف این خبر را دارید، کد ۲۰۲۲۱۷۲۲ را به همراه موضوع به شماره ۱۰۰۰۱۵۷۰ پیامک فرمایید. لطفاً در صورتیکه در مورد این خبر، نظر یا سئوالی دارید، با منبع خبر (اینجا) ارتباط برقرار نمایید.
با استناد به ماده ۷۴ قانون تجارت الکترونیک مصوب ۱۳۸۲/۱۰/۱۷ مجلس شورای اسلامی و با عنایت به اینکه سایت «خبربان» مصداق بستر مبادلات الکترونیکی متنی، صوتی و تصویر است، مسئولیت نقض حقوق تصریح شده مولفان در قانون فوق از قبیل تکثیر، اجرا و توزیع و یا هر گونه محتوی خلاف قوانین کشور ایران بر عهده منبع خبر و کاربران است.
خبر بعدی:
چرا اینستاگرام الگوریتم خود را تغییر میدهد؟
ایتنا - اینستاگرام اعلام کرد که الگوریتم خود را با هدف کمک به حسابهای کاربری که دنبالکنندگان کمتری دارند، تغییر میدهد.
بر اساس اعلام اینستاگرام، محتواسازان کوچک که مخاطبان کمتری دارند با تغییر الگوریتم این رسانه اجتماعی به راحتی محتواهای دست اول خود را بهدست کاربران میرسانند.
شرکت متا با تغییراتی که در الگوریتم پیشنهاد بخش لیز اعمال میکند، محتواهای دست اول را بیشتر از گذشته به کاربران پیشنهاد میدهد.
همچنین با این تغییرات، سیستم رتبهبندی محتوای اینستاگرام پستهایی که فقط محتواهای دیگران را بازنشر میکنند، کمتر پیشنهاد میدهد.
در گذشته، سیستم رتبهبندی محتوای اینستاگرام پستهای محتواسازانی که دنبالکنندگان بیشتری داشتند، و همچنین اکانتهایی که محتواهای دیگران را بازنشر میکردند را بیشتر از تولیدکنندگان محتواهای دست اول و کوچک به کاربران پیشنهاد میکرد.
با تغییرات جدید در الگوریتم اینستاگرام، اکانتهایی که دنبالکنندگان بیشتری دارند دیگر در اولویت قرار نمیگیرند.
بر اساس اعلام اینستاگرام، این تغییرات در ماههای آینده قابل مشاهده خواهد بود.
اینستاگرام مدتی است که تغییرات مهمی را در نحوه استفاده کاربران از این پلتفرم ایجاد کرده است. شرکت متا تصمیم گرفته است که به توصیه محتوای سیاسی و اجتماعی پایان دهد. این شرکت پیشتر اقدامهای متعددی را برای محافظت از کاربران کودک انجام داده است.