تخيل أن جميع ملفات موقعك مشفرة، بينما يتطلب المخترقون آلاف...
أعرف عن الثغرةثغرة بإضافة [Contact Form 7 Entries] تؤثر على أكثر من 60 ألف موقع إلكتروني
- الكاتب: م. أحمد أسامة
- الدعم التقني, ثغرات
- لا توجد تعليقات
في 24 فبراير 2024، تم اكتشاف ثغرة من نوع [XXS] في إضافة [Contact Form Entries] المثبتة في أكثر من 60 ألف موقع إلكتروني وهذه الثغرة الأمنية المكتشفة تسمح بإدخال اسكريبتات أو حقن نصوص ويب قد تضر بموقعك لمن يمتلكون صلاحية مساهم فأعلى باستخدام الرمز القصير للمكون الإضافي والتفاصيل في الأسطر القادمة.
المحتوى
ما هي إضافة Contact Form Entries؟
يقوم المكون الإضافي Contact Form 7 Entries Plugin تلقائيًا بحفظ عمليات إرسال النماذج من Contact Form 7 وWPforms وElementor Forms وCRM Perks Forms والعديد من المكونات الإضافية الشائعة الأخرى لنماذج الاتصال إلى قاعدة بيانات WordPress عندما يرسل أي شخص نموذجًا.
الإصدار المٌصاب
التحليل الفني للثغرة
كما ذكرنا سلفًا فتعد Contact Form Entries مكونًا إضافيًا مصممًا للسماح لمستخدمي WordPress بحفظ عمليات إرسال النماذج من العديد من المكونات الإضافية الشائعة الأخرى لنماذج الاتصال إلى قاعدة بيانات WordPress. يوفر رمزًا قصيرًا ([vx-entries]) يعرض إدخالات النموذج في جدول عند إضافتها إلى صفحة WordPress. ومع ذلك، فإن التنفيذ غير الآمن لوظيفة الرمز القصير للمكون الإضافي يسمح بإدخال نصوص ويب عشوائية في هذه الصفحات.
يكشف فحص الكود أن دالة entries_shortcode() في vxcf_form class لا تقوم بتطهير/تعقيم إدخال “حجم الخط” المقدم من المستخدم بشكل صحيح. وهذا يجعل من الممكن إدخال حمولات البرمجة النصية عبر المواقع المستندة إلى السمات عبر سمة “حجم الخط”.
$table_id='id="'.esc_attr($atts['font-size']).'"';
الكود من دالة entries_shortcode() السطر 266
cellspacing="0" >
السطر 21 من ملف leads-table.php template
يتم استخدام قيمة السمة “font-size” للمعرف، وهي ليست ذات صلة بالثغرة الأمنية.
يتم وضع بنية سمة html لمعرف الجدول ضمن علامتي اقتباس كما يلي: id=”{value}”.
ترجع المشكلة والضعف الأكثر أهمية إلى حقيقة أن الدالة esc_html() الثانية تفلت من علامات الاقتباس، مما يعني أن قيمة إدخال المستخدم لن تظل ضمن علامات الاقتباس.
في مثل هذه الحالات، يتم تفسير المسافة على أنها بداية لسمة [attribute] جديدة، مما يسمح باستخدام XSS القائم على السمة على الرغم من أن السمة المعنية قد تم تخطيها.
وذلك لأن esc_attr() يفلت فقط من الأحرف < و> و& و’ (أقل من وأكبر من وعلامة العطف والاقتباس المزدوج والاقتباس المفرد)،
ولكن في هذه الحالة ليس من الضروري وجود علامة اقتباس لفصل السمة لأن السمة لم تكن محاطة بعلامات اقتباس في المقام الأول. وهذا يجعل من الممكن للجهات الفاعلة التهديدية تنفيذ هجمات XSS المخزنة.
بمجرد إدخال البرنامج النصي في صفحة أو منشور، سيتم تنفيذه في كل مرة يصل فيها المستخدم إلى الصفحة المتأثرة. على الرغم من أن هذه الثغرة الأمنية تتطلب اختراق حساب مساهم موثوق به، أو أن يكون المستخدم قادرًا على التسجيل كمساهم، إلا أن الجهات الفاعلة الناجحة في التهديد يمكنها سرقة معلومات حساسة، أو التلاعب بمحتوى الموقع، أو إدخال مستخدمين إداريين، أو تحرير ملفات، أو إعادة توجيه المستخدمين إلى مواقع ويب ضارة كلها عواقب وخيمة.
أوصي بي
وعلى هذا النحو، أوصي بشدة بالتحقق من أن موقعك يشغل أحدث إصدار من المكون الإضافي على الفور وهو نسخة 1.3.4
الجدول الزمني
24 فبراير 2024 – تم تلقي الثغرة الأمنية للبرمجة عبر المواقع (XSS) المخزنة في إدخالات نموذج الاتصال
- 29 فبراير 2024 – تم التحقق من صحة التقرير.
- 29 فبراير 2024 – بدء الاتصال مع مبرمج المكون الإضافي وطُلب منه تأكيد البريد الوارد للتعامل مع المناقشة.
- 5 مارس 2024 – تم إرسال تفاصيل التقرير الكاملة. يقر المورد بالتقرير وبدأ العمل على الإصلاح.
- 6 مارس 2024 – تم إصدار النسخة المصححة بالكامل من إصدار الإضافة 1.3.4.
رسالة لعملاءي
كافة عملاءي الذين اشتركوا بخدمة الدعم التقني بأمان ويتم تحديث مواقعهم ومشاريعهم على الفور ويتم إرسال التقارير لهم أولًا بأول، إذا لم تكن من عملاءي الذين استفادوا من خدمة الدعم التقني فيمكنك طلب فحص موقعك مجانًا دون أي مقابل وإبلاغك بالمشاكل والثغرات بموقعك وتفاصيل الباقات إذا كنت مهتمًا بتأمين وحماية مشروعك والخدمات التي ستحصل عليها تجدها بالمقالة.
الدعم التقني
أوصيك إذا لم تكن تقنيًا بتوظيف أحد المتخصصين لرعاية وفحص موقعك وتحديثه وصيانته أولًا بأول فلا يمكنك أبدًا الحصول على موقع آمن وينافس ويظهر بشكل احترافي للعملاء دون وجود دعم تقني دوري للموقع فلعلك لاحظت التحديثات والترقيات الدائمة لتطبيقات هواتفك أو نظام تشغيلك أو متصفحك وحتى برامح فحص الفيروسات نفسها.. إن التحديثات والتأمينات باتت ضرورة ملحة بعدما أصبحت الهجمات لا تبقي ولا تذر أحدًا حتى المنصات الكبيرة والمواقع المشهورة.
فلم يعد الدعم التقني ووجود متخصص معك أمر ترفيهي بل أصبح من البديهيات إذا كنت تخشى على كيانك الإلكتروني وتخشى على ما أنفقت فيه وتطمح للمنافسة والتوسع على شبكة التواصل الاجتماعي، ولأجل ذلك قمت بإعداد هذه الخدمة عبر باقات متنوعة وخدمة منفصلة شهد لها عملائي عبر تعليقاتهم بالموقع أو عبر حسابي على لينكدإن بكل إيجابية وترحاب.
خصومات لفترة محدودة
أسعار الباقات تختلف باختلاف المشاريع وحجم المشاكل بها ولكنها تبدأ من:
الشهر الواحد
دعم الصيانة والتحديثات
$250
$
199
99
شهر/
-
صيانة الأعطال التقنية
-
تحديث الأنظمة وحمايتها
-
تأمين المواقع والتطبيقات
-
ضبط وتأمين الاستضافات
-
تصحيح الأكواد البرمجية
-
حماية الملفات البرمجية
-
فحص الفيروسات الدوري
-
نسخ احتياطي آمن
احصل عليها
*راجع سياسة وبنود الاتفاق الخاصة بالدعم
ربع سنوي
دعم الصيانة والتحديثات
$750
$
569
99
3 أشهر/
-
صيانة الأعطال التقنية
-
تحديث الأنظمة وحمايتها
-
تأمين المواقع والتطبيقات
-
ضبط وتأمين الاستضافات
-
تصحيح الأكواد البرمجية
-
حماية الملفات البرمجية
-
فحص الفيروسات الدوري
-
نسخ احتياطي آمن
احصل عليها
*راجع سياسة وبنود الاتفاق الخاصة بالدعم
شائعة
نصف سنوي
دعم الصيانة والتحديثات
$1500
$
1109
99
6 أشهر/
-
صيانة الأعطال التقنية
-
تحديث الأنظمة وحمايتها
-
تأمين المواقع والتطبيقات
-
ضبط وتأمين الاستضافات
-
تصحيح الأكواد البرمجية
-
حماية الملفات البرمجية
-
فحص الفيروسات الدوري
-
نسخ احتياطي آمن
احصل عليها
*راجع سياسة وبنود الاتفاق الخاصة بالدعم
العام الكامل
دعم الصيانة والتحديثات
$3000
$
2159
99
عام/
-
صيانة الأعطال التقنية
-
تحديث الأنظمة وحمايتها
-
تأمين المواقع والتطبيقات
-
ضبط وتأمين الاستضافات
-
تصحيح الأكواد البرمجية
-
حماية الملفات البرمجية
-
فحص الفيروسات الدوري
-
نسخ احتياطي آمن
احصل عليها
*راجع سياسة وبنود الاتفاق الخاصة بالدعم
الأوفر
ختام المقالة
أرجو أن أكون قد وفقت في إظهار أهمية وخطورة الدعم التقني وأن يكون سردي قد نال إعجابكم وأقبل تعليقاتكم بالأسفل ويسعدني كافة مشاركتكم.. هذه الخدمة لها صفحة منفصلة بها كافة التفاصيل في حالة احتياجك لهذه الخدمة من أجل موقعك الإلكتروني أو تطبيقك ولا تنسى زائري الكريم بتحديث الإضافة الآن لآخر نسخة لكي تكون بأمان حتى توظفني وأفحص موقعك بالكامل وأعطيك تقرير مفصل لكافة أجزاء كيانك البرمجي.
باقات الدعم التقني للأنظمة
للمواقع الإلكترونية والاستضافات وتطبيقات الهواتف وأنظمة سطح المكتب
شارك المقالة للإفادة
نبذة عن الكاتب
م. أحمد أسامة
مهندس برمجيات مصري ● خبرة تزيد عن تسعة أعوام ● مدير لشركة [TGHEZ LTD] - أقدم خدمات تصميم وبرمجة وحماية مواقع الويب وإنشاء تطبيقات الجوال وتوزيع الاستضافات ● شريكًا مؤسسًا لشركة كريتكس كود بأمستردام بهولندا ومهندس مستقل بمنصة المدرسة لتعليم البرمجة بالعربية ● لدي عملاء من 15 دولة حول العالم.
لمعرفة المقالات الجديدة والتواصل معي تابعني عبر:
اختراقات ذات صلة
دليل شامل لأشهر 10 أنواع من الهجمات على المواقع وكيف تحمي موقعك منها
مع التطور السريع في التكنولوجيا وزيادة الاعتماد على الإنترنت في...
أعرف عن الثغرة
اكتب تعليقًا
مشترك
0 تعليقات
تعليقات مضمنة
عرض جميع التعليقات
شركاء النجاح
لا أحد منّا يمكن أن يحقق النجاح بأن يعمل لوحده فالاكتشافات والإنجازات العظيمة تحتاج إلى تعاون الكثير من الأيدي.
انضم لأكثر من +500 عميل وثقوا بي من 15 دولة حول العالم
باقات خدمات
0
+
ألف متابع
0
+
معلومات الاتصال
-
8428 4366 2011+
-
AhmadOsamaSaad@
-
contact@ahmadosama.com
-
القاهرة الجديدة - مصر
طرق الدفع المقبولة
جميع الحقوق محفوظة © 2017 - 2024
لا يمكنك طباعة شيء من الموقع
Javascript not detected. Javascript required for this site to function. Please enable it in your browser settings and refresh this page.
Scroll to Top