ملايين المواقع كانت مع موعد خاطف مع ثغرة XSS بالكور الخاص بنظام إدارة المحتوى وردبريس

المشاهدات: 4٬021

الكاتب: م. أحمد أسامة
الدعم التقني, ثغرات
لا توجد تعليقات

تم إصدار WordPress 6.5.2 في 9 أبريل 2024. وقد تضمن تصحيحًا أمنيًا واحدًا، بالإضافة إلى عدد من إصلاحات الأخطاء. كان التصحيح الأمني مخصصًا لثغرة أمنية [Stored Cross-Site Scripting] والتي يمكن استغلالها من قبل كل من المستخدمين غير المصادقين، عند وجود تعليق على الصفحة، ومن قبل المستخدمين المعتمدين الذين لديهم حق الوصول لمحرر الكتل مثل: المساهمين.

ما هو نظام WordPress؟

باختصار هو نظام إدارة محتوى مفتوح المصدر تم بناءه بلغة PHP وقواعد بيانات MYSQL وهو من أشهر الأنظمة على الإطلاق إذ أنه يمثل ما يقارب 50% من المواقع الإلكترونية على الإنترنت وذلك لتمتعه بخصائص ومزايا مزهلة ومتعددة لا تكاد تحصى بمقالة واحدة فهو متوافق تمامًا مع محركات البحث (السيو) ولديه مئات الآلاف من الثيمات والإضافات البرمجية التي تمكن هذا النظام الجبار من صنع كافة أنواع المواقع والمتاجر والمدونات وغيرها من المشاريع بمختلف الأنواع والأحجام، كما أنه يمتلك عشرات الإضافات البرمجية الخاصة بالحماية والتي إذا تم إعدادها بشكل صحيح من متخصص فإنها ستوفر سياجًا جيدًا جدًا لتأمين مشروعك.

الإصدار المٌصاب

الإصدار المٌصاب بالثغرة إصدارات 6.5 – 6.5.1, 6.4 – 6.4.3, 6.3 – 6.3.3, 6.2 – 6.2.4, 6.1 – 6.1.5, 6.0 – 6.0.7 من وقت كتابة هذه المقالة

التحليل الفني للثغرة

في الإصدار 6.0، أضاف نظام إدارة المحتوى وردبريس كتلة Avatar جديدة. يمكن استخدام هذه الكتلة لعرض الصورة الرمزية لمؤلف المنشور داخل منشور أو لإظهار الصورة الرمزية لمؤلف التعليق عند استخدامها داخل كتلة التعليق.

لسوء الحظ، تم تنفيذ الكود المستخدم لعرض رابط لعنوان URL لموقع الويب الذي قدمه المؤلف أو أرشيف النشر بشكل غير آمن، مما يجعل من الممكن إدخال JavaScript عشوائيًا باستخدام [attribute-based XSS payload]

				
					$label = 'aria-label="' . sprintf( esc_attr__( '(%s author archive, opens in a new tab)' ), $author_name ) . '"';

وهذا يسلط الضوء على الكود المتأثر لاسم مؤلف التعليق:

				
					$label = 'aria-label="' . sprintf( esc_attr__( '(%s website link, opens in a new tab)' ), $comment->comment_author ) . '"';

جوهر المشكلة هنا هو أن esc_attr() يتم تنفيذه قبل sprintf(). هذا يعني أنه لا يتم تجاوز قيم comment_author وauthor_name قبل تضمينها في HTML لأن القيمة هي مجرد عنصر نائب حتى يتم تشغيل sprintf().

مدى الخطورة

كما هو الحال مع أي ثغرة أمنية في البرمجة عبر المواقع، يمكن الاستفادة من ذلك لإدخال نصوص ويب ضارة يمكن استخدامها لإضافة مستخدمين إداريين أو تعديل رمز السمة/البرنامج الإضافي لإدخال باب خلفي، إلى جانب العديد من العواقب الأخرى. على الرغم من أن هذا الأمر خطير، فمن الجدير بالذكر أن المواقع التي تسمح بالتسجيل على مستوى المساهم والتسجيل الأعلى فقط وتوفر الوصول إلى محرر الكتل، إلى جانب المواقع التي تستخدم كتلة التعليقات، هي التي تتأثر.

أوصي بي وعلى هذا النحو، أوصي بشدة بالتحقق من أن موقعك يشغل أحدث إصدار من نظام إدارة المحتوى وردبريس على الفور من وقت كتابة هذه المقالة وهي نسخة 6.5.2

رسالة لعملاءي

كافة عملاءي الذين اشتركوا بخدمة الدعم التقني بأمان ويتم تحديث مواقعهم ومشاريعهم على الفور ويتم إرسال التقارير لهم أولًا بأول، إذا لم تكن من عملاءي الذين استفادوا من خدمة الدعم التقني فيمكنك طلب فحص موقعك مجانًا دون أي مقابل وإبلاغك بالمشاكل والثغرات بموقعك وتفاصيل الباقات إذا كنت مهتمًا بتأمين وحماية مشروعك والخدمات التي ستحصل عليها تجدها بالمقالة.

الدعم التقني

أوصيك إذا لم تكن تقنيًا بتوظيف أحد المتخصصين لرعاية وفحص موقعك وتحديثه وصيانته أولًا بأول فلا يمكنك أبدًا الحصول على موقع آمن وينافس ويظهر بشكل احترافي للعملاء دون وجود دعم تقني دوري للموقع فلعلك لاحظت التحديثات والترقيات الدائمة لتطبيقات هواتفك أو نظام تشغيلك أو متصفحك وحتى برامح فحص الفيروسات نفسها.. إن التحديثات والتأمينات باتت ضرورة ملحة بعدما أصبحت الهجمات لا تبقي ولا تذر أحدًا حتى المنصات الكبيرة والمواقع المشهورة.

فلم يعد الدعم التقني ووجود متخصص معك أمر ترفيهي بل أصبح من البديهيات إذا كنت تخشى على كيانك الإلكتروني وتخشى على ما أنفقت فيه وتطمح للمنافسة والتوسع على شبكة التواصل الاجتماعي، ولأجل ذلك قمت بإعداد هذه الخدمة عبر باقات متنوعة وخدمة منفصلة شهد لها عملائي عبر تعليقاتهم بالموقع أو عبر حسابي على لينكدإن بكل إيجابية وترحاب.

خصومات لفترة محدودة أسعار الباقات تختلف باختلاف المشاريع وحجم المشاكل بها ولكنها تبدأ من:

$250

$ 199

شهر/

صيانة الأعطال التقنية
تحديث الأنظمة وحمايتها
تأمين المواقع والتطبيقات
ضبط وتأمين الاستضافات
تصحيح الأكواد البرمجية
حماية الملفات البرمجية
فحص الفيروسات الدوري
نسخ احتياطي آمن

$750

$ 569

3 أشهر/

صيانة الأعطال التقنية
تحديث الأنظمة وحمايتها
تأمين المواقع والتطبيقات
ضبط وتأمين الاستضافات
تصحيح الأكواد البرمجية
حماية الملفات البرمجية
فحص الفيروسات الدوري
نسخ احتياطي آمن

شائعة

$1500

$ 1109

6 أشهر/

صيانة الأعطال التقنية
تحديث الأنظمة وحمايتها
تأمين المواقع والتطبيقات
ضبط وتأمين الاستضافات
تصحيح الأكواد البرمجية
حماية الملفات البرمجية
فحص الفيروسات الدوري
نسخ احتياطي آمن

$3000

$ 2159

عام/

صيانة الأعطال التقنية
تحديث الأنظمة وحمايتها
تأمين المواقع والتطبيقات
ضبط وتأمين الاستضافات
تصحيح الأكواد البرمجية
حماية الملفات البرمجية
فحص الفيروسات الدوري
نسخ احتياطي آمن

الأوفر

ختام المقالة

أرجو أن أكون قد وفقت في إظهار أهمية وخطورة الدعم التقني وأن يكون سردي قد نال إعجابكم وأقبل تعليقاتكم بالأسفل ويسعدني كافة مشاركتكم.. هذه الخدمة لها صفحة منفصلة بها كافة التفاصيل في حالة احتياجك لهذه الخدمة من أجل موقعك الإلكتروني أو تطبيقك ولا تنسى زائري الكريم بتحديث نظام إدارة المحتوى وردبريس الخاص بك الآن لآخر نسخة لكي تكون بأمان حتى توظفني وأفحص موقعك بالكامل وأعطيك تقرير مفصل لكافة أجزاء كيانك البرمجي.

باقات الدعم التقني للأنظمة

للمواقع الإلكترونية والاستضافات وتطبيقات الهواتف وأنظمة سطح المكتب

اضغط هنا لتعرف أكثر عن الخدمة

شارك المقالة للإفادة

نبذة عن الكاتب

م. أحمد أسامة

مهندس برمجيات مصري ● خبرة تزيد عن تسعة أعوام ● مدير لشركة [TGHEZ LTD] - أقدم خدمات تصميم وبرمجة وحماية مواقع الويب وإنشاء تطبيقات الجوال وتوزيع الاستضافات ● شريكًا مؤسسًا لشركة كريتكس كود بأمستردام بهولندا ومهندس مستقل بمنصة المدرسة لتعليم البرمجة بالعربية ● لدي عملاء من 15 دولة حول العالم.

لمعرفة المقالات الجديدة والتواصل معي تابعني عبر: