ثغرة بإضافة [Ultimate Member] تؤثر على أكثر من 200 ألف موقع إلكتروني

المشاهدات: 2٬059

الكاتب: م. أحمد أسامة
الدعم التقني, ثغرات
2 تعليقات

في 28 فبراير 2024، تلقى فريق وردفينس إحدى إضافات الحماية على منصة وردبريس طلب بشأن ثغرة من نوع [XXS] في إضافة [Ultimate Member] المثبتة في أكثر من 200 ألف موقع إلكتروني وهذه الثغرة الأمنية المكتشفة تسمح بإدخال اسكريبتات أو نصوص ويب قد تضر بموقعك والتفاصيل في الأسطر القادمة.

ما هي إضافة Ultimate Member؟

من أهم الإضافات التي تسمح بعمل حسابات وعضويات على موقعك الإلكتروني بمنصة وردبريس، فالإضافة تسهل على المستخدمين أن يشتركوا ويصبحوا أعضاء بموقعك ويتيح لك مزايا عديدة تخص ملفات التعريف لكل حساب كما أنه مثالي لإنشاء مجتمعات ومواقع عضوية متقدمة عبر الإنترنت. خفيف الوزن وقابل للتوسيع بدرجة كبيرة، يتيح لك Ultimate Member إنشاء أي نوع من المواقع تقريبًا حيث يمكن للمستخدمين الانضمام ويصبحوا أعضاء بسهولة مطلقة.

الإصدار المٌصاب

الإصدار المٌصاب بالثغرة كافة النسخ حتى نسخة 2.8.3 من إضافة Ultimate Member

التحليل الفني للثغرة

من مزايا الإضافة المذكورة هو نموذج التسجيل المخصص [custom registration form] ودليل الأعضاء [member directories] والتي من خلالها نستعرض قائمة الأعضاء والمستخدمين بالموقع.

لسوء الحظ التنفيذ غير الآمن لوظائف دليل الأعضاء يسمح بحقن نصوص وأكواد ضارة.
يكشف فحص الكود أن الإضافة تتضمن ملفات member-list.php أو member-grid.php اعتمادًا على الإعدادات، والتي تحتوي على underscore.js لقائمة المستخدمين.

يتلقى ملف العرض بيانات المستخدم عبر AJAX من دالة ajax_get_members()، والتي تستخدم دالة build_user_card_data() لتجميع بيانات المستخدم.

يمكن للمهاجم تقديم اسم ببرنامج نصي ضار أثناء التسجيل كمستخدم غير مصادق.

كما هو الحال دائمًا، يمكن استخدام ثغرات البرمجة النصية عبر المواقع لإدخال تعليمات برمجية يمكنها إضافة مستخدمين إداريين جدد، وإعادة توجيه الضحايا إلى مواقع ضارة، وإدخال أبواب خلفية في ملفات السمات والمكونات الإضافية، وغير ذلك الكثير.

بالإضافة إلى حقيقة أنه يمكن استغلال الثغرة الأمنية من قبل مهاجمين ليس لديهم امتيازات على موقع معرض للخطر، فهذا يعني أن هناك فرصة كبيرة لأن يتمكن المهاجمون غير المصادقين من الحصول على وصول إداري للمستخدم على المواقع التي تقوم بتشغيل الإصدار الضعيف من البرنامج الإضافي عند استغلالها بنجاح.

أوصي بي وعلى هذا النحو، أوصي بشدة بالتحقق من أن موقعك يشغل أحدث إصدار من المكون الإضافي على الفور وهو نسخة 2.8.4

الجدول الزمني

28 فبراير 2024 – تلقى فريق وردفينس إرسال الثغرة الأمنية للبرمجة عبر المواقع (XSS) المخزنة في Ultimate Member عبر برنامج Wordfence Bug Bounty.

1 مارس 2024 – قاموا بالتحقق من صحة التقرير وتأكيد استغلال إثبات المفهوم.
2 مارس 2024 – أرسلوا تفاصيل الإفصاح الكاملة.
4 مارس 2024 – يقر المورد بالتقرير ويبدأ العمل على الإصلاح.
6 مارس 2024 – تم إصدار النسخة المصححة بالكامل من البرنامج الإضافي، 2.8.4.

رسالة لعملاءي

كافة عملاءي الذين اشتركوا بخدمة الدعم التقني بأمان ويتم تحديث مواقعهم ومشاريعهم على الفور ويتم إرسال التقارير لهم أولًا بأول، إذا لم تكن من عملاءي الذين استفادوا من خدمة الدعم التقني فيمكنك طلب فحص موقعك مجانًا دون أي مقابل وإبلاغك بالمشاكل والثغرات بموقعك وتفاصيل الباقات إذا كنت مهتمًا بتأمين وحماية مشروعك والخدمات التي ستحصل عليها تجدها بالمقالة.

الدعم التقني

أوصيك إذا لم تكن تقنيًا بتوظيف أحد المتخصصين لرعاية وفحص موقعك وتحديثه وصيانته أولًا بأول فلا يمكنك أبدًا الحصول على موقع آمن وينافس ويظهر بشكل احترافي للعملاء دون وجود دعم تقني دوري للموقع فلعلك لاحظت التحديثات والترقيات الدائمة لتطبيقات هواتفك أو نظام تشغيلك أو متصفحك وحتى برامح فحص الفيروسات نفسها.. إن التحديثات والتأمينات باتت ضرورة ملحة بعدما أصبحت الهجمات لا تبقي ولا تذر أحدًا حتى المنصات الكبيرة والمواقع المشهورة.

فلم يعد الدعم التقني ووجود متخصص معك أمر ترفيهي بل أصبح من البديهيات إذا كنت تخشى على كيانك الإلكتروني وتخشى على ما أنفقت فيه وتطمح للمنافسة والتوسع على شبكة التواصل الاجتماعي، ولأجل ذلك قمت بإعداد هذه الخدمة عبر باقات متنوعة وخدمة منفصلة شهد لها عملائي عبر تعليقاتهم بالموقع أو عبر حسابي على لينكدإن بكل إيجابية وترحاب.

خصومات لفترة محدودة أسعار الباقات تختلف باختلاف المشاريع وحجم المشاكل بها ولكنها تبدأ من:

$250

$ 199

شهر/

صيانة الأعطال التقنية
تحديث الأنظمة وحمايتها
تأمين المواقع والتطبيقات
ضبط وتأمين الاستضافات
تصحيح الأكواد البرمجية
حماية الملفات البرمجية
فحص الفيروسات الدوري
نسخ احتياطي آمن

$750

$ 569

3 أشهر/

صيانة الأعطال التقنية
تحديث الأنظمة وحمايتها
تأمين المواقع والتطبيقات
ضبط وتأمين الاستضافات
تصحيح الأكواد البرمجية
حماية الملفات البرمجية
فحص الفيروسات الدوري
نسخ احتياطي آمن

شائعة

$1500

$ 1109

6 أشهر/

صيانة الأعطال التقنية
تحديث الأنظمة وحمايتها
تأمين المواقع والتطبيقات
ضبط وتأمين الاستضافات
تصحيح الأكواد البرمجية
حماية الملفات البرمجية
فحص الفيروسات الدوري
نسخ احتياطي آمن

$3000

$ 2159

عام/

صيانة الأعطال التقنية
تحديث الأنظمة وحمايتها
تأمين المواقع والتطبيقات
ضبط وتأمين الاستضافات
تصحيح الأكواد البرمجية
حماية الملفات البرمجية
فحص الفيروسات الدوري
نسخ احتياطي آمن

الأوفر

ختام المقالة

أرجو أن أكون قد وفقت في إظهار أهمية وخطورة الدعم التقني وأن يكون سردي قد نال إعجابكم وأقبل تعليقاتكم بالأسفل ويسعدني كافة مشاركتكم.. هذه الخدمة لها صفحة منفصلة بها كافة التفاصيل في حالة احتياجك لهذه الخدمة من أجل موقعك الإلكتروني أو تطبيقك ولا تنسى زائري الكريم بتحديث الإضافة الآن لآخر نسخة لكي تكون بأمان حتى توظفني وأفحص موقعك بالكامل وأعطيك تقرير مفصل لكافة أجزاء كيانك البرمجي.

باقات الدعم التقني للأنظمة

للمواقع الإلكترونية والاستضافات وتطبيقات الهواتف وأنظمة سطح المكتب

اضغط هنا لتعرف أكثر عن الخدمة

شارك المقالة للإفادة

نبذة عن الكاتب

م. أحمد أسامة

مهندس برمجيات مصري ● خبرة تزيد عن تسعة أعوام ● مدير لشركة [TGHEZ LTD] - أقدم خدمات تصميم وبرمجة وحماية مواقع الويب وإنشاء تطبيقات الجوال وتوزيع الاستضافات ● شريكًا مؤسسًا لشركة كريتكس كود بأمستردام بهولندا ومهندس مستقل بمنصة المدرسة لتعليم البرمجة بالعربية ● لدي عملاء من 15 دولة حول العالم.

لمعرفة المقالات الجديدة والتواصل معي تابعني عبر: