افزونه‌ای به نام WP HTML Mail که در بیش از ۲۰ هزار سایت مبتنی بر WordPress نصب شده، دارای یک ضعف امنیتی با درجه اهمیت “بالا” است و می‌تواند به “تزریق کد” و عملیات “فریب سایبری” موسوم به فیشینگ منجر شود.

به گزارش مرکز مدیریت راهبردی افتا،WP HTML Mail  افزونه‌ای است که به منظور طراحی ایمیل‌های سفارشی، اعلان‌ها و به طور کلی پیام‌های سفارشی بکار برده می‌شود که در بسترهای آنلاین برای مخاطبان موجود در فرم تماس (Contact Form) ارسال می‌شود، این افزونه با WooCommerce،  Ninja Forms و BuddyPress نیز سازگار است. 
با وجود این که تعداد سایت‌هایی که از این افزونه استفاده می‌کنند، زیاد نیست ولی بسیاری از آن‌ها مخاطبان زیادی دارند که باعث می‌شود این ضعف امنیتی تعداد قابل‌توجهی از کاربران اینترنت را هدف قرار دهد.

 بر اساس گزارشی از گروه تحقیقاتی وردفنس (Wordfence, inc.)، یک مهاجم بدون احراز هویت می‌تواند از ضعف امنیتی به شناسه CVE-۲۰۲۲-۰۲۱۸  سوءاستفاده کرده و با تغییر الگوی ایمیل، داده‌های موردنظر خود را در آن قرار دهد.
مهاجم همچنین می‌تواند با بهره‌جویی از همین آسیب‌پذیری، ایمیل‌های فیشینگ را به کاربرانی که در سایت‌های آلوده شده ثبت‌نام کرده‌اند، ارسال کند. اشکال اصلی در ثبت دو مسیر از توابع REST-API است که برای به‌روزرسانی و بازیابی تنظیمات قالب ایمیل، استفاده می شود؛ این نقاط پایانی توابع API به‌اندازه کافی نسبت به دسترسی غیرمجاز محافظت نمی‌شوند، بنابراین حتی کاربران غیرمجاز نیز می‌توانند این توابع را فراخوانی و اجرا کنند.
Wordfence در گزارش خود به نشانی زیر، این مطلب را به‌تفصیل شرح می‌دهد:

https://www.wordfence.com/blog/۲۰۲۲/۰۱/unauthenticated-xss-vulnerability-patched-in-html-email-template-designer-plugin/

 مهاجم همچنین می‌تواند علاوه بر حملات فیشینگ، کد JavaScript مخرب را به قالب ایمیل تزریق کند. در این صورت هر زمانی که مدیر سایت به ویرایشگر HTML ایمیل دسترسی پیدا می‌کند، کد مخرب اجرا می‌شود. این موضوع به طور بالقوه می‌تواند افزودن حساب‌های Admin جدید، هدایت بازدیدکنندگان سایت به سایت‌های فیشینگ، تزریق درب‌های پشتی (Back-door) به فایل‌های قالب (Theme Files) و حتی تصاحب کامل سایت را برای مهاجم تسهیل کند.محققان Wordfence آسیب‌پذیری موجود در این افزونه را در تاریخ ۲ دی ۱۴۰۰ کشف و اطلاع‌رسانی کردند. بنیاد وردپرس (WordPress.org) در ۲۰ دی به آنها پاسخ داده و در تاریخ ۲۳ دی ۱۴۰۰ با انتشار نسخه ۳,۱، این ضعف امنیتی را ترمیم کرد. به تمامی راهبران امنیتی و مدیران سایت‌های وردپرس توصیه می‌شود در اسرع وقت با مراجعه به نشانی‌های زیر، نرم‌افزار WordPress و افزونه WP HTML Mail را با آخرین نسخه آنها به‌روزرسانی کنند.

 https://wordpress.org/news/۲۰۲۲/۰۱/wordpress-۵-۸-۳-security-release/https://wordpress.org/plugins/wp-html-mail/

منبع:

https://www.bleepingcomputer.com/news/security/wordpress-plugin-flaw-puts-users-of-۲۰-۰۰۰-sites-at-phishing-risk/
https://afta.gov.ir/fa-IR/Portal/4927/news/view/14608/1942/Staging/%D8%A7%D8%AD%D8%AA%D9%85%D8%A7%D9%84-%D9%88%D9%82%D9%88%D8%B9-%D8%AD%D9%85%D9%84%D8%A7%D8%AA-%D9%81%D8%B1%DB%8C%D8%A8-%D8%B3%D8%A7%DB%8C%D8%A8%D8%B1%DB%8C-%D9%85%D9%88%D8%B3%D9%88%D9%85-%D8%A8%D9%87-%D9%81%DB%8C%D8%B4%DB%8C%D9%86%DA%AF-%D8%AF%D8%B1-%D8%B3%D8%A7%DB%8C%D8%AA%E2%80%8C%D9%87%D8%A7%DB%8C-%D9%85%D8%A8%D8%AA%D9%86%DB%8C-%D8%A8%D8%B1-WordPress

(با تشکر ازشرکت مهندسی شبکه گستر برای همکاری در تهیه این گزارش)