ثغرة بـ [WP Activity Log Premium] تؤثر على أكثر من 20 ألف موقع ومنصة إلكترونية

ثغرة بـ [WP Activity Log Premium] تؤثر على أكثر من 20 ألف موقع ومنصة إلكترونية

في 24 فبراير 2024، تم الإبلاغ عن ثغرة [authenticated SQL Injection] في إضافة [WP Activity Log Premium] المثبتة في أكثر من 20 ألف موقع ومنصة ويمكن الاستفادة من هذه الثغرة الأمنية لاستخراج البيانات الحساسة من قاعدة البيانات، مثل تجزئات كلمة المرور.

المحتوى

ما هي إضافة WP Activity Log Premium؟

يعد WP Activity Log هو البرنامج الإضافي الأكثر شمولاً لسجل نشاط WordPress لتسجيل تغييرات المستخدم والنظام لتسهيل استكشاف الأخطاء وإصلاحها والامتثال وإدارة المستخدم والأمان.

الإصدار المٌصاب

الإصادر المصاب من إضافة يعد WP Activity Log

التحليل الفني للثغرة

يعد المكون الإضافي WP Activity Log Premium هو الإصدار المدفوع من المكون الإضافي الشهير WP Activity Log WordPress، والذي يتضمن العديد من الميزات والوظائف المتميزة. لسوء الحظ، يسمح التنفيذ غير الآمن لوظيفة إنشاء التقارير الخاصة بالمكون الإضافي بإدخال SQL. يكشف فحص الكود أن المكون الإضافي يستخدم دالة  ajax_generate_report() في كلاس WSAL_Rep_Views_Main للاستعلام عن التقرير من قاعدة البيانات، ثم إنشاء JSON منه، حيث يمكن تحديد مرشح التاريخ التالي باستخدام باراميتر “nextDate”.

				
					$filters['nextDate'] = $_POST['nextDate'];
				
			
				
					$next_date = ( empty( $filters['nextDate'] ) ? null : $filters['nextDate'] );
				
			

يكشف فحص الكود عن عدم استخدام وظيفة التعقيم في قيمة التاريخ. عادةً، تقوم دالة prepare() بتحديد باراميترز استعلام SQL والهروب منه من أجل التنفيذ الآمن في WordPress، وبالتالي توفير الحماية ضد هجمات حقن SQL. ولكن، في هذه الحالة، لا يتم استخدام قيمة $next_date كباراميتر، بل يتم إلحاقها فقط بالاستعلام كسلسلة.

				
					if ( ! empty( $next_date ) ) {
    $sql .= ' AND occ.created_on < ' . $next_date;
}
				
			

بعد الاستعلام، تستخدم build_alert_details() الدالة Maybe_unserialize() للأدوار.

				
					$roles      = maybe_unserialize( $entry->roles );
				
			

يوضح الرسم التالي خطوات الاستغلال التي قد يتخذها المهاجم وعند هذه النقطة سيمنع جدار الحماية Wordfence المهاجم من استغلال الثغرة الأمنية بنجاح.

رسم لتوضيح طريقة حقن الثغرة في إضافة wp log activity premium

الجدول الزمني

24 فبراير 2024 – أُرسل تقرير بوجود الثغرة في الإضافة البرمجية. 

  • 28 فبراير 2024 – تم التحقق من صحة التقرير.
  • 29 فبراير 2024 – بدء الاتصال مع مبرمجي الإضافة وطُلب منهم تأكيد البريد الوارد للتعامل مع المناقشة.
  • 27 مارس 2024 – أرسل التقرير للمسؤولين وأقروا به وبدأو بالعمل على الإصلاح.
  • 09 إبريل 2024 – تم إصدار النسخة المصححة بالكامل من الإضافة، 4.6.4.1.

رسالة لعملاءي

كافة عملاءي الذين اشتركوا بخدمة الدعم التقني بأمان ويتم تحديث مواقعهم ومشاريعهم على الفور ويتم إرسال التقارير لهم أولًا بأول، إذا لم تكن من عملاءي الذين استفادوا من خدمة الدعم التقني فيمكنك طلب فحص موقعك مجانًا دون أي مقابل وإبلاغك بالمشاكل والثغرات بموقعك وتفاصيل الباقات إذا كنت مهتمًا بتأمين وحماية مشروعك والخدمات التي ستحصل عليها تجدها بالمقالة.

الدعم التقني

أوصيك إذا لم تكن تقنيًا بتوظيف أحد المتخصصين لرعاية وفحص موقعك وتحديثه وصيانته أولًا بأول فلا يمكنك أبدًا الحصول على موقع آمن وينافس ويظهر بشكل احترافي للعملاء دون وجود دعم تقني دوري للموقع فلعلك لاحظت التحديثات والترقيات الدائمة لتطبيقات هواتفك أو نظام تشغيلك أو متصفحك وحتى برامح فحص الفيروسات نفسها.. إن التحديثات والتأمينات باتت ضرورة ملحة بعدما أصبحت الهجمات لا تبقي ولا تذر أحدًا حتى المنصات الكبيرة والمواقع المشهورة.

فلم يعد الدعم التقني ووجود متخصص معك أمر ترفيهي بل أصبح من البديهيات إذا كنت تخشى على كيانك الإلكتروني وتخشى على ما أنفقت فيه وتطمح للمنافسة والتوسع على شبكة التواصل الاجتماعي، ولأجل ذلك قمت بإعداد هذه الخدمة عبر باقات متنوعة وخدمة منفصلة شهد لها عملائي عبر تعليقاتهم بالموقع أو عبر حسابي على لينكدإن بكل إيجابية وترحاب.

الشهر الواحد

دعم الصيانة والتحديثات
$250
$ 199
99
شهر/
  • صيانة الأعطال التقنية
  • تحديث الأنظمة وحمايتها
  • تأمين المواقع والتطبيقات
  • ضبط وتأمين الاستضافات
  • تصحيح الأكواد البرمجية
  • حماية الملفات البرمجية
  • فحص الفيروسات الدوري
  • نسخ احتياطي آمن

ربع سنوي

دعم الصيانة والتحديثات
$750
$ 569
99
3 أشهر/
  • صيانة الأعطال التقنية
  • تحديث الأنظمة وحمايتها
  • تأمين المواقع والتطبيقات
  • ضبط وتأمين الاستضافات
  • تصحيح الأكواد البرمجية
  • حماية الملفات البرمجية
  • فحص الفيروسات الدوري
  • نسخ احتياطي آمن
شائعة

نصف سنوي

دعم الصيانة والتحديثات
$1500
$ 1109
99
6 أشهر/
  • صيانة الأعطال التقنية
  • تحديث الأنظمة وحمايتها
  • تأمين المواقع والتطبيقات
  • ضبط وتأمين الاستضافات
  • تصحيح الأكواد البرمجية
  • حماية الملفات البرمجية
  • فحص الفيروسات الدوري
  • نسخ احتياطي آمن

العام الكامل

دعم الصيانة والتحديثات
$3000
$ 2159
99
عام/
  • صيانة الأعطال التقنية
  • تحديث الأنظمة وحمايتها
  • تأمين المواقع والتطبيقات
  • ضبط وتأمين الاستضافات
  • تصحيح الأكواد البرمجية
  • حماية الملفات البرمجية
  • فحص الفيروسات الدوري
  • نسخ احتياطي آمن
الأوفر

ختام المقالة

أرجو أن أكون قد وفقت في إظهار أهمية وخطورة الدعم التقني وأن يكون سردي قد نال إعجابكم وأقبل تعليقاتكم بالأسفل ويسعدني كافة مشاركتكم.. هذه الخدمة لها صفحة منفصلة بها كافة التفاصيل في حالة احتياجك لهذه الخدمة من أجل موقعك الإلكتروني أو تطبيقك ولا تنسى زائري الكريم بتحديث الإضافة الآن لآخر نسخة لكي تكون بأمان حتى توظفني وأفحص موقعك بالكامل وأعطيك تقرير مفصل لكافة أجزاء كيانك البرمجي.

باقات الدعم التقني للأنظمة
للمواقع الإلكترونية والاستضافات وتطبيقات الهواتف وأنظمة سطح المكتب

شارك المقالة للإفادة

نبذة عن الكاتب

Picture of م. أحمد أسامة
م. أحمد أسامة
مهندس برمجيات مصري ● خبرة تزيد عن تسعة أعوام ● مدير لشركة [TGHEZ LTD] - أقدم خدمات تصميم وبرمجة وحماية مواقع الويب وإنشاء تطبيقات الجوال وتوزيع الاستضافات ● شريكًا مؤسسًا لشركة كريتكس كود بأمستردام بهولندا ومهندس مستقل بمنصة المدرسة لتعليم البرمجة بالعربية ● لدي عملاء من 15 دولة حول العالم.

لمعرفة المقالات الجديدة والتواصل معي تابعني عبر:

اختراقات ذات صلة

اكتب تعليقًا

مشترك
إخطار
guest
التقييم
إلى أي درجة أعجبك عملي/مقالتي
0 تعليقات
تعليقات مضمنة
عرض جميع التعليقات

لا يمكنك طباعة شيء من الموقع

Scroll to Top