افزونهای به نام WP HTML Mail که در بیش از ۲۰ هزار سایت مبتنی بر WordPress نصب شده، دارای یک ضعف امنیتی با درجه اهمیت “بالا” است و میتواند به “تزریق کد” و عملیات “فریب سایبری” موسوم به فیشینگ منجر شود.
به گزارش مرکز مدیریت راهبردی افتا،WP HTML Mail افزونهای است که به منظور طراحی ایمیلهای سفارشی، اعلانها و به طور کلی پیامهای سفارشی بکار برده میشود که در بسترهای آنلاین برای مخاطبان موجود در فرم تماس (Contact Form) ارسال میشود، این افزونه با WooCommerce، Ninja Forms و BuddyPress نیز سازگار است.
با وجود این که تعداد سایتهایی که از این افزونه استفاده میکنند، زیاد نیست ولی بسیاری از آنها مخاطبان زیادی دارند که باعث میشود این ضعف امنیتی تعداد قابلتوجهی از کاربران اینترنت را هدف قرار دهد.
بر اساس گزارشی از گروه تحقیقاتی وردفنس (Wordfence, inc.)، یک مهاجم بدون احراز هویت میتواند از ضعف امنیتی به شناسه CVE-۲۰۲۲-۰۲۱۸ سوءاستفاده کرده و با تغییر الگوی ایمیل، دادههای موردنظر خود را در آن قرار دهد.
مهاجم همچنین میتواند با بهرهجویی از همین آسیبپذیری، ایمیلهای فیشینگ را به کاربرانی که در سایتهای آلوده شده ثبتنام کردهاند، ارسال کند. اشکال اصلی در ثبت دو مسیر از توابع REST-API است که برای بهروزرسانی و بازیابی تنظیمات قالب ایمیل، استفاده می شود؛ این نقاط پایانی توابع API بهاندازه کافی نسبت به دسترسی غیرمجاز محافظت نمیشوند، بنابراین حتی کاربران غیرمجاز نیز میتوانند این توابع را فراخوانی و اجرا کنند.
Wordfence در گزارش خود به نشانی زیر، این مطلب را بهتفصیل شرح میدهد:
مهاجم همچنین میتواند علاوه بر حملات فیشینگ، کد JavaScript مخرب را به قالب ایمیل تزریق کند. در این صورت هر زمانی که مدیر سایت به ویرایشگر HTML ایمیل دسترسی پیدا میکند، کد مخرب اجرا میشود. این موضوع به طور بالقوه میتواند افزودن حسابهای Admin جدید، هدایت بازدیدکنندگان سایت به سایتهای فیشینگ، تزریق دربهای پشتی (Back-door) به فایلهای قالب (Theme Files) و حتی تصاحب کامل سایت را برای مهاجم تسهیل کند.محققان Wordfence آسیبپذیری موجود در این افزونه را در تاریخ ۲ دی ۱۴۰۰ کشف و اطلاعرسانی کردند. بنیاد وردپرس (WordPress.org) در ۲۰ دی به آنها پاسخ داده و در تاریخ ۲۳ دی ۱۴۰۰ با انتشار نسخه ۳,۱، این ضعف امنیتی را ترمیم کرد. به تمامی راهبران امنیتی و مدیران سایتهای وردپرس توصیه میشود در اسرع وقت با مراجعه به نشانیهای زیر، نرمافزار WordPress و افزونه WP HTML Mail را با آخرین نسخه آنها بهروزرسانی کنند.
https://wordpress.org/news/۲۰۲۲/۰۱/wordpress-۵-۸-۳-security-release/https://wordpress.org/plugins/wp-html-mail/
منبع:
https://www.bleepingcomputer.com/news/security/wordpress-plugin-flaw-puts-users-of-۲۰-۰۰۰-sites-at-phishing-risk/
https://afta.gov.ir/fa-IR/Portal/4927/news/view/14608/1942/Staging/%D8%A7%D8%AD%D8%AA%D9%85%D8%A7%D9%84-%D9%88%D9%82%D9%88%D8%B9-%D8%AD%D9%85%D9%84%D8%A7%D8%AA-%D9%81%D8%B1%DB%8C%D8%A8-%D8%B3%D8%A7%DB%8C%D8%A8%D8%B1%DB%8C-%D9%85%D9%88%D8%B3%D9%88%D9%85-%D8%A8%D9%87-%D9%81%DB%8C%D8%B4%DB%8C%D9%86%DA%AF-%D8%AF%D8%B1-%D8%B3%D8%A7%DB%8C%D8%AA%E2%80%8C%D9%87%D8%A7%DB%8C-%D9%85%D8%A8%D8%AA%D9%86%DB%8C-%D8%A8%D8%B1-WordPress
(با تشکر ازشرکت مهندسی شبکه گستر برای همکاری در تهیه این گزارش)
دیدگاه شما