ثغرة بإضافة [Icegram Express] تؤثر على أكثر من 90 ألف موقع ومنصة إلكترونية

المشاهدات: 764

الكاتب: م. أحمد أسامة
الدعم التقني, ثغرات
لا توجد تعليقات

في 25 مارس 2024، تم الإبلاغ عن ثغرة [unauthenticated SQL Injection ] في إضافة [Email Subscribers by Icegram Express] المثبتة في أكثر من 90 ألف موقع ومنصة ويمكن الاستفادة من هذه الثغرة الأمنية لاستخراج البيانات الحساسة من قاعدة البيانات، مثل تجزئات كلمة المرور [password hashes].

ما هي إضافة Email Subscribers by Icegram Express؟

يعد Icegram Express، البرنامج المساعد الأبسط والأكثر موثوقية للتسويق عبر البريد الإلكتروني ومشتركي البريد الإلكتروني والنشرات الإخبارية في WordPress. مثالي لبناء القائمة، والمشاركة في القائمة، وإرسال الرسائل الإخبارية ورسائل البريد الإلكتروني المستهدفة، وتحويل العملاء المحتملين إلى عملاء.

الإصدار المٌصاب

الإصدار المٌصاب بالثغرة جميع الإصدارات حتى 5.7.14 من الإضافة المذكورة

التحليل الفني للثغرة

لسوء الحظ، يسمح التنفيذ غير الآمن لوظيفة الاستعلام عن المشتركين في البرنامج الإضافي بإدخال SQL. يكشف فحص الكود أن المكون الإضافي يضيف دالة Maybe_apply_bulk_actions_on_all_contacts() في كلاس Email_Subscribers_Admin إلى خطاف init الخاص بالمسؤول. نظرًا لأن هذه الدالة لا تقوم بفحص القدرة والقدرات، فيمكن أيضًا استدعاؤها من قبل مهاجمين غير مصادقين.

				
					add_action( 'admin_init', array( $this, 'maybe_apply_bulk_actions_on_all_contacts' ) );

تستعلم هذه الدالة عن المشتركين من قاعدة البيانات باستخدام كلاس IG_ES_Subscribers_Query. تحتوي الدالة run() التي تستعلم عن قاعدة البيانات على مقتطفات التعليمات البرمجية التالية:

				
					if ( ! empty( $this->args['conditions'] ) ) {
    foreach ( $this->args['conditions'] as $i => $and_conditions ) {
 
        $sub_cond = array();
 
        if ( ! empty( $and_conditions ) ) {
            foreach ( $and_conditions as $j => $condition ) {
 
                $field    = isset( $condition['field'] ) ? $condition['field'] : ( isset( $condition[0] ) ? $condition[0] : null );
                $operator = isset( $condition['operator'] ) ? $condition['operator'] : ( isset( $condition[1] ) ? $condition[1] : null );
                $value    = isset( $condition['value'] ) ? $condition['value'] : ( isset( $condition[2] ) ? $condition[2] : null );

تقوم الدالة بإنشاء استعلام معقد. في مثل هذه الحالة، سيكون الهروب من الباراميترز باستخدام دالة esc_sql() حلاً مناسبًا، ولكن للأسف هذا مفقود في الإصدار الضعيف.

				
					$joins[] = "LEFT JOIN {$wpbd->prefix}ig_links AS {$alias}{$field} ON {$alias}{$field}.link IN ('" . implode( "','", $value ) . "')";

تتم إضافة عبارة JOIN إلى الاستعلام بدون دالة WordPress wpdb Prepar(). ستقوم دالة Prepar() بتحديد معلمات استعلام SQL والهروب منه من أجل التنفيذ الآمن في WordPress، وبالتالي توفير الحماية ضد هجمات حقن SQL.
نظرًا لأن حقن SQL المستند إلى UNION غير ممكن بسبب بنية الاستعلام، فسيحتاج المهاجم إلى استخدام أسلوب أعمى يعتمد على الوقت لاستخراج المعلومات من قاعدة البيانات. هذا يعني أنهم سيحتاجون إلى استخدام عبارات SQL CASE مع أمر SLEEP() أثناء مراقبة وقت الاستجابة لكل طلب لسرقة المعلومات من قاعدة البيانات. هذه طريقة معقدة ولكنها ناجحة في كثير من الأحيان للحصول على معلومات من قاعدة بيانات عند استغلال الثغرات الأمنية في SQL حقن.

أوصي بي وعلى هذا النحو، أوصي بشدة بالتحقق من أن موقعك يشغل أحدث إصدار من المكون الإضافي على الفور وهو نسخة 5.7.15

الجدول الزمني

24 مارس 2024 – أُرسل تقرير بوجود الثغرة في الإضافة البرمجية.

25 مارس 2024 – تم التحقق من صحة التقرير.
25 مارس 2024 – أرسل التقرير للمسؤولين وأقروا به وبدأو بالعمل على الإصلاح.
27 مارس 2024 – تم إصدار النسخة المصححة بالكامل من الإضافة، 5.7.11.

رسالة لعملاءي

كافة عملاءي الذين اشتركوا بخدمة الدعم التقني بأمان ويتم تحديث مواقعهم ومشاريعهم على الفور ويتم إرسال التقارير لهم أولًا بأول، إذا لم تكن من عملاءي الذين استفادوا من خدمة الدعم التقني فيمكنك طلب فحص موقعك مجانًا دون أي مقابل وإبلاغك بالمشاكل والثغرات بموقعك وتفاصيل الباقات إذا كنت مهتمًا بتأمين وحماية مشروعك والخدمات التي ستحصل عليها تجدها بالمقالة.

الدعم التقني

أوصيك إذا لم تكن تقنيًا بتوظيف أحد المتخصصين لرعاية وفحص موقعك وتحديثه وصيانته أولًا بأول فلا يمكنك أبدًا الحصول على موقع آمن وينافس ويظهر بشكل احترافي للعملاء دون وجود دعم تقني دوري للموقع فلعلك لاحظت التحديثات والترقيات الدائمة لتطبيقات هواتفك أو نظام تشغيلك أو متصفحك وحتى برامح فحص الفيروسات نفسها.. إن التحديثات والتأمينات باتت ضرورة ملحة بعدما أصبحت الهجمات لا تبقي ولا تذر أحدًا حتى المنصات الكبيرة والمواقع المشهورة.

فلم يعد الدعم التقني ووجود متخصص معك أمر ترفيهي بل أصبح من البديهيات إذا كنت تخشى على كيانك الإلكتروني وتخشى على ما أنفقت فيه وتطمح للمنافسة والتوسع على شبكة التواصل الاجتماعي، ولأجل ذلك قمت بإعداد هذه الخدمة عبر باقات متنوعة وخدمة منفصلة شهد لها عملائي عبر تعليقاتهم بالموقع أو عبر حسابي على لينكدإن بكل إيجابية وترحاب.

خصومات لفترة محدودة أسعار الباقات تختلف باختلاف المشاريع وحجم المشاكل بها ولكنها تبدأ من:

$250

$ 199

شهر/

صيانة الأعطال التقنية
تحديث الأنظمة وحمايتها
تأمين المواقع والتطبيقات
ضبط وتأمين الاستضافات
تصحيح الأكواد البرمجية
حماية الملفات البرمجية
فحص الفيروسات الدوري
نسخ احتياطي آمن

$750

$ 569

3 أشهر/

صيانة الأعطال التقنية
تحديث الأنظمة وحمايتها
تأمين المواقع والتطبيقات
ضبط وتأمين الاستضافات
تصحيح الأكواد البرمجية
حماية الملفات البرمجية
فحص الفيروسات الدوري
نسخ احتياطي آمن

شائعة

$1500

$ 1109

6 أشهر/

صيانة الأعطال التقنية
تحديث الأنظمة وحمايتها
تأمين المواقع والتطبيقات
ضبط وتأمين الاستضافات
تصحيح الأكواد البرمجية
حماية الملفات البرمجية
فحص الفيروسات الدوري
نسخ احتياطي آمن

$3000

$ 2159

عام/

صيانة الأعطال التقنية
تحديث الأنظمة وحمايتها
تأمين المواقع والتطبيقات
ضبط وتأمين الاستضافات
تصحيح الأكواد البرمجية
حماية الملفات البرمجية
فحص الفيروسات الدوري
نسخ احتياطي آمن

الأوفر

ختام المقالة

أرجو أن أكون قد وفقت في إظهار أهمية وخطورة الدعم التقني وأن يكون سردي قد نال إعجابكم وأقبل تعليقاتكم بالأسفل ويسعدني كافة مشاركتكم.. هذه الخدمة لها صفحة منفصلة بها كافة التفاصيل في حالة احتياجك لهذه الخدمة من أجل موقعك الإلكتروني أو تطبيقك ولا تنسى زائري الكريم بتحديث الإضافة الآن لآخر نسخة لكي تكون بأمان حتى توظفني وأفحص موقعك بالكامل وأعطيك تقرير مفصل لكافة أجزاء كيانك البرمجي.

باقات الدعم التقني للأنظمة

للمواقع الإلكترونية والاستضافات وتطبيقات الهواتف وأنظمة سطح المكتب

اضغط هنا لتعرف أكثر عن الخدمة

شارك المقالة للإفادة

نبذة عن الكاتب

م. أحمد أسامة

مهندس برمجيات مصري ● خبرة تزيد عن تسعة أعوام ● مدير لشركة [TGHEZ LTD] - أقدم خدمات تصميم وبرمجة وحماية مواقع الويب وإنشاء تطبيقات الجوال وتوزيع الاستضافات ● شريكًا مؤسسًا لشركة كريتكس كود بأمستردام بهولندا ومهندس مستقل بمنصة المدرسة لتعليم البرمجة بالعربية ● لدي عملاء من 15 دولة حول العالم.

لمعرفة المقالات الجديدة والتواصل معي تابعني عبر: