![ثغرة بـ [WP Activity Log Premium] تؤثر على أكثر من 20 ألف موقع ومنصة إلكترونية](https://ahmadosama.com/wp-content/uploads/2024/04/ثغرة-بـ-WP-Activity-Log-Premium-تؤثر-على-أكثر-من-20-ألف-موقع-ومنصة-إلكترونية.webp "أكثر من 60 ألف موقع معرضين لاختراق XSS قد يؤدي للاستيلاء الكامل عليهم 27")
في 24 فبراير 2024، تم الإبلاغ عن ثغرة [authenticated SQL...
أعرف عن الثغرة
أكثر من 60 ألف موقع معرضين لاختراق XSS قد يؤدي للاستيلاء الكامل عليهم
-
الكاتب: م. أحمد أسامة
- الدعم التقني, ثغرات
- لا توجد تعليقات
في 21 فبراير 2024، تم الإبلاغ عن ثغرة [Unauthenticated Stored Cross-Site Scripting] في إضافة [WP-Members Membership] المثبتة في أكثر من 60 ألف موقع تسمح الثغرة الأمنية للجهات الفاعلة في مجال التهديد بإدخال JavaScript عشوائيًا عبر header X-Forwarded-For، الذي يستخدمه البرنامج الإضافي لأغراض التسجيل. عندما يشاهدها المسؤول، يتم تنفيذ التعليمات البرمجية الضارة في سياق جلسة متصفح المسؤول وتسمح بإنشاء مستخدمين مسؤولين ضارين بالإضافة إلى تغييرات في إعدادات الموقع المتأثر مما قد يؤدي إلى الاستيلاء الكامل على الموقع.
المحتوى
ما هي إضافة WP-Members Membership؟
إضافة برمجية مختصة بالعضويات كما يقدم WP-Members قيودًا على المحتوى وميزات تسجيل مخصصة تساعد مالكي المواقع على تحقيق الدخل من محتواهم.
الإصدار المٌصاب
الإصدار المٌصاب بالثغرة
جميع الإصدارات حتى 3.4.9.2 من الإضافة المذكورة
التحليل الفني للثغرة
يعد المكون الإضافي لـ WP-Members Membership Plugin لـ WordPress عرضة للبرمجة النصية المخزنة عبر المواقع عبر Header X-Forwarded-For في جميع الإصدارات حتى 3.4.9.2، بما في ذلك، بسبب عدم كفاية عملية تعقيم sanitization المدخلات وهروب escaping المخرجات.
وهذا يجعل من الممكن للمهاجمين غير المصادقين إدخال نصوص ويب عشوائية في الصفحات التي سيتم تنفيذها عندما يصل المستخدم إلى الصفحة المحقونة وهي صفحة تحرير المستخدمين. تم تصحيح هذه الثغرة الأمنية جزئيًا في الإصدار 3.4.9.2 وتم تصحيحها بالكامل في الإصدار 3.4.9.3.
أثناء الإعداد الأولي، من الممكن تقييد الوصول إلى المنشورات وكذلك الصفحات وتمكين تسجيل المستخدم. عند محاولة عرض إحدى الصفحات، سيرى الزائر شيئًا مشابهًا للقطة الشاشة التالية:
من أجل استغلال هذه الثغرة الأمنية في Cross-Site Scripting، يمكن للمهاجم اعتراض طلب التسجيل الخاص بهم بعد ملء نموذج التسجيل وإرساله باستخدام وكيل من اختيارهم وتعديل الطلب الأولي ليحتوي على Header X-Forwarded-For تم تعيينه على برنامج ضار. الحمولة محاطة بعلامات البرنامج النصي كما هو موضح في لقطة الشاشة التالية:
بمجرد إعادة توجيه هذا الطلب إلى الخادم، يتم إنشاء حساب مستخدم يبدو غير مريب بالتفاصيل التي قدمها المهاجم:
يقوم البرنامج الإضافي بتخزين عنوان IP للمستخدمين الذين استخدموا نموذج التسجيل الخاص به في ملفهم الشخصي. يتم تحقيق ذلك باستخدام الكود التالي:
تحدد الدالة rktgk_get_user_ip ما إذا كان الطلب يحتوي على Header HTTP_CLIENT_IP أو HTTP_X_FORWARDED_FOR. في حالة وجود أي من الرأسين، تستخدم الوظيفة تلك القيمة كعنوان IP الخاص بالمستخدم بدلاً من المتغير REMOTE_ADDR ثم تقوم بإرجاع القيمة المقدمة كعنوان IP. نظرًا لأنه يمكن التلاعب برؤوس HTTP، ولم يتم تطهير المدخلات، يمكن للمستخدم توفير أي قيمة بما في ذلك نص الويب الضار الذي سيتم تخزينه كعنوان IP الخاص بالمستخدم.
إذا قرر المسؤول تحرير حساب المستخدم هذا أو عرضه، فستكون JavaScript المحقونة التالية موجودة في كود المصدر الذي تم إنشاؤه عند تحميل الصفحة:
ونتيجة لذلك، سيحدث:
من المهم أن نفهم أنه سيتم تنفيذ هذه التعليمات البرمجية الضارة في سياق جلسة متصفح المسؤول ويمكن استخدامها لإنشاء حسابات مستخدمين ضارة وإعادة توجيه زوار الموقع إلى مواقع ضارة أخرى وتنفيذ إجراءات ضارة أخرى.
أوصي بي
وعلى هذا النحو، أوصي بشدة بالتحقق من أن موقعك يشغل أحدث إصدار من المكون الإضافي على الفور وهو نسخة 3.4.9.3
الجدول الزمني
21 فبراير 2024 – أُرسل تقرير بوجود الثغرة في الإضافة البرمجية.
- 23 فبراير 2024 – تم التحقق من صحة التقرير.
- 23 فبراير 2024 – بدء الاتصال مع مبرمجي الإضافة وطُلب منهم تأكيد البريد الوارد للتعامل مع المناقشة.
- 23 فبراير 2024 – أرسل التقرير للمسؤولين وأقروا به وبدأو بالعمل على الإصلاح.
- 07 مارس 2024 – الإصدار 3.4.9.2 يعالج هذه المشكلة جزئيًا.
- 27 مارس 2024 – تم إصدار النسخة المصححة بالكامل من الإضافة، 3.4.9.3.
رسالة لعملاءي
كافة عملاءي الذين اشتركوا بخدمة الدعم التقني بأمان ويتم تحديث مواقعهم ومشاريعهم على الفور ويتم إرسال التقارير لهم أولًا بأول، إذا لم تكن من عملاءي الذين استفادوا من خدمة الدعم التقني فيمكنك طلب فحص موقعك مجانًا دون أي مقابل وإبلاغك بالمشاكل والثغرات بموقعك وتفاصيل الباقات إذا كنت مهتمًا بتأمين وحماية مشروعك والخدمات التي ستحصل عليها تجدها بالمقالة.
الدعم التقني
أوصيك إذا لم تكن تقنيًا بتوظيف أحد المتخصصين لرعاية وفحص موقعك وتحديثه وصيانته أولًا بأول فلا يمكنك أبدًا الحصول على موقع آمن وينافس ويظهر بشكل احترافي للعملاء دون وجود دعم تقني دوري للموقع فلعلك لاحظت التحديثات والترقيات الدائمة لتطبيقات هواتفك أو نظام تشغيلك أو متصفحك وحتى برامح فحص الفيروسات نفسها.. إن التحديثات والتأمينات باتت ضرورة ملحة بعدما أصبحت الهجمات لا تبقي ولا تذر أحدًا حتى المنصات الكبيرة والمواقع المشهورة.
فلم يعد الدعم التقني ووجود متخصص معك أمر ترفيهي بل أصبح من البديهيات إذا كنت تخشى على كيانك الإلكتروني وتخشى على ما أنفقت فيه وتطمح للمنافسة والتوسع على شبكة التواصل الاجتماعي، ولأجل ذلك قمت بإعداد هذه الخدمة عبر باقات متنوعة وخدمة منفصلة شهد لها عملائي عبر تعليقاتهم بالموقع أو عبر حسابي على لينكدإن بكل إيجابية وترحاب.
خصومات لفترة محدودة
أسعار الباقات تختلف باختلاف المشاريع وحجم المشاكل بها ولكنها تبدأ من:
الشهر الواحد
دعم الصيانة والتحديثات
$250
$
199
99
شهر/ -
صيانة الأعطال التقنية
-
تحديث الأنظمة وحمايتها
-
تأمين المواقع والتطبيقات
-
ضبط وتأمين الاستضافات
-
تصحيح الأكواد البرمجية
-
حماية الملفات البرمجية
-
فحص الفيروسات الدوري
-
نسخ احتياطي آمن
احصل عليها
*راجع سياسة وبنود الاتفاق الخاصة بالدعم
ربع سنوي
دعم الصيانة والتحديثات
$750
$
569
99
3 أشهر/ -
صيانة الأعطال التقنية
-
تحديث الأنظمة وحمايتها
-
تأمين المواقع والتطبيقات
-
ضبط وتأمين الاستضافات
-
تصحيح الأكواد البرمجية
-
حماية الملفات البرمجية
-
فحص الفيروسات الدوري
-
نسخ احتياطي آمن
احصل عليها
*راجع سياسة وبنود الاتفاق الخاصة بالدعم
شائعة
نصف سنوي
دعم الصيانة والتحديثات
$1500
$
1109
99
6 أشهر/ -
صيانة الأعطال التقنية
-
تحديث الأنظمة وحمايتها
-
تأمين المواقع والتطبيقات
-
ضبط وتأمين الاستضافات
-
تصحيح الأكواد البرمجية
-
حماية الملفات البرمجية
-
فحص الفيروسات الدوري
-
نسخ احتياطي آمن
احصل عليها
*راجع سياسة وبنود الاتفاق الخاصة بالدعم
العام الكامل
دعم الصيانة والتحديثات
$3000
$
2159
99
عام/ -
صيانة الأعطال التقنية
-
تحديث الأنظمة وحمايتها
-
تأمين المواقع والتطبيقات
-
ضبط وتأمين الاستضافات
-
تصحيح الأكواد البرمجية
-
حماية الملفات البرمجية
-
فحص الفيروسات الدوري
-
نسخ احتياطي آمن
احصل عليها
*راجع سياسة وبنود الاتفاق الخاصة بالدعم
الأوفر
ختام المقالة
أرجو أن أكون قد وفقت في إظهار أهمية وخطورة الدعم التقني وأن يكون سردي قد نال إعجابكم وأقبل تعليقاتكم بالأسفل ويسعدني كافة مشاركتكم.. هذه الخدمة لها صفحة منفصلة بها كافة التفاصيل في حالة احتياجك لهذه الخدمة من أجل موقعك الإلكتروني أو تطبيقك ولا تنسى زائري الكريم بتحديث الإضافة الآن لآخر نسخة لكي تكون بأمان حتى توظفني وأفحص موقعك بالكامل وأعطيك تقرير مفصل لكافة أجزاء كيانك البرمجي.
باقات الدعم التقني للأنظمة
للمواقع الإلكترونية والاستضافات وتطبيقات الهواتف وأنظمة سطح المكتب
شارك المقالة للإفادة
نبذة عن الكاتب
م. أحمد أسامة
مهندس برمجيات مصري ● خبرة تزيد عن تسعة أعوام ● مدير لشركة [TGHEZ LTD] - أقدم خدمات تصميم وبرمجة وحماية مواقع الويب وإنشاء تطبيقات الجوال وتوزيع الاستضافات ● شريكًا مؤسسًا لشركة كريتكس كود بأمستردام بهولندا ومهندس مستقل بمنصة المدرسة لتعليم البرمجة بالعربية ● لدي عملاء من 15 دولة حول العالم.
لمعرفة المقالات الجديدة والتواصل معي تابعني عبر:
اختراقات ذات صلة
![ثغرة بإضافة [Icegram Express] تؤثر على أكثر من 90 ألف موقع ومنصة إلكترونية](https://ahmadosama.com/wp-content/uploads/2024/04/ثغرة-بإضافة-Icegram-Express-تؤثر-على-أكثر-من-90-ألف-موقع-ومنصة-إلكترونية.webp "أكثر من 60 ألف موقع معرضين لاختراق XSS قد يؤدي للاستيلاء الكامل عليهم 28")
ثغرة بإضافة [Icegram Express] تؤثر على أكثر من 90 ألف موقع ومنصة إلكترونية
في 25 مارس 2024، تم الإبلاغ عن ثغرة [unauthenticated SQL...
أعرف عن الثغرةاكتب تعليقًا
مشترك
0 تعليقات
