ووردبريس تصحح خطأ موجودًا منذ 3 سنوات
ووردبريس تصحح خطأ موجودًا منذ 3 سنوات أصدرت منصة برمجيات النشر عبر الويب ووردبريس (WordPress) تحديثًا يحمل الرقم 5.5.2، بحيث يعمل على تصحيح خطأ شديد الخطورة يسمح لمهاجم بعيد بالسيطرة على موقع ويب مستهدف عبر هجوم رفض الخدمة المُصمم بدقة.
الإعلان رسميًا عن الهاتف Redmi K30S مع المعالج SD865، وشاشة 144Hz بحجم 6.67 إنش
وعالج إصدار الأمان والصيانة 5.5.2 من وورد بريس بشكل عام أخطاء أمنية، وجلب أيضًا مجموعة من تحسينات الميزات إلى المنصة.
وقالت ووردبريس: إن التحديث هو إصدار للأمان والصيانة قبل الإصدار الرئيسي التالي 5.6، وستكون جميع الإصدارات منذ 3.7 محدثة.
ومن بين الأخطاء الأمنية العشرة التي تم تصحيحها، يمكن استغلال ثغرة بارزة مصنفة بأنها عالية الخطورة للسماح لمهاجم بتنفيذ تعليمات برمجية عن بُعد ضد الأنظمة التي تستضيف موقع الويب الضعيف.
وكتبت ووردبريس: تسمح الثغرة لمهاجم بخرق الموقع المتأثر، وتوجد الثغرة الأمنية بسبب الإدارة غير السليمة للموارد الداخلية داخل التطبيق، مما يحول هجوم رفض الخدمة إلى مشكلة لتنفيذ التعليمات البرمجية عن بُعد.
وقال الباحث الذي وجد الخلل، عمر جانييف (Omar Ganiev)، مؤسس شركة (DeteAct): إن تأثير الثغرة قد يكون مرتفعًا، لكن احتمال قيام الخصم بإعادة إنتاج الهجوم على نطاق واسع منخفض.
وأضاف: الهجوم مثير جدًا للاهتمام، لكن من الصعب جدًا إعادة إنتاجه، وحتى في حالة توفر الظروف المناسبة، فيجب أن تكون قادرًا على إنتاج هجوم (DoS) دقيق للغاية.
وعثر جانييف على الخطأ قبل ثلاث سنوات، وأبلغ عنه في شهر يوليو 2019، وقال: إن التأخير كان للبحث في أنواع مختلفة من ثغرات إثبات المفهوم.
ولا تعتقد المنصة أن الثغرة الأمنية قد تم استغلالها على نطاق واسع.
كما جرى تصحيح أربعة أخطاء تم تصنيفها على أنها متوسطة الخطورة، بحيث أثرت هذه العيوب في إصدارات 5.5.1 والإصدارات الأقدم.
ويمكن لمستخدم غير مصدق عليه عبر الإنترنت استغلال ثلاثة من نقاط الضعف الأربعة – عيب البرمجة عبر المواقع، وخطأ التحكم في الوصول غير المناسب، وثغرة أمنية في طلب التزييف عبر الموقع.
ولا يمكن تشغيل الخطأ الرابع المتوسط الخطورة، وهو ثغرة أمنية لتجاوز قيود الأمان، إلا بواسطة مستخدم تمت مصادقته عن بُعد.
ومن بين الأخطاء المتوسطة الخطورة، من المحتمل أن يكون عيب البرمجة عبر المواقع هو الأكثر خطورة.
ويسمح الهجوم الناجح للمهاجم عن بُعد بسرقة المعلومات الحساسة، وتغيير مظهر صفحة الويب، وتنفيذ هجمات التصيد الاحتيالي.