نام کاربری یا نشانی ایمیل
رمز عبور
مرا به خاطر بسپار
یک نقص امنیتی حیاتی در افزونه محبوب وردپرس موسوم به Really Simple Security که در گذشته با نام Really Simple SSL شناخته میشد، کشف شده است. به گزارش تکناک، این آسیبپذیری که نسخههای رایگان و Pro افزونه را تحت تأثیر قرار میدهد، به مهاجمان امکان میدهد تا به صورت راه دور دسترسی کامل مدیریتی به […]
یک نقص امنیتی حیاتی در افزونه محبوب وردپرس موسوم به Really Simple Security که در گذشته با نام Really Simple SSL شناخته میشد، کشف شده است.
به گزارش تکناک، این آسیبپذیری که نسخههای رایگان و Pro افزونه را تحت تأثیر قرار میدهد، به مهاجمان امکان میدهد تا به صورت راه دور دسترسی کامل مدیریتی به سایتهای آسیبپذیر پیدا کنند.
افزونه Really Simple Security یکی از پرکاربردترین افزونههای امنیتی برای پلتفرم وردپرس است، که قابلیتهایی مانند: پیکربندی SSL، حفاظت از ورود، احراز هویت دومرحلهای (2FA) و شناسایی آسیبپذیریها را به صورت لحظهای ارائه میدهد.
طبق آمار، نسخه رایگان این افزونه در بیش از چهار میلیون وبسایت استفاده میشود.
شرکت امنیتی Wordfence که این نقص را کشف و به صورت عمومی افشا کرده، آن را یکی از شدیدترین آسیبپذیریهایی میداند که در ۱۲ سال گذشته گزارش کرده است.
طبق گزارش این شرکت، نقص موردنظر به مهاجمان اجازه میدهد تا با سوءاستفاده از یک حفره در فرایند احراز هویت، کنترل کامل سایتهای آسیبپذیر را به دست آورند.
این نقص که با شناسه CVE-2024-10924 شناخته میشود، به دلیل مدیریت نادرست احراز هویت کاربران در عملکردهای API REST مربوط به احراز هویت دومرحلهای ایجاد شده است.
مشکل اصلی در عملکرد (check_login_and_get_user) نهفته است که با بررسی نادرست پارامترهای user_id و login_nonce، امکان دسترسی غیرمجاز را فراهم میکند.
زمانی که مقدار login_nonce نامعتبر باشد، به جای رد کردن درخواست، فرایند احراز هویت بر اساس پارامتر user_id ادامه مییابد، که باعث عبور از احراز هویت میشود.
این نقص زمانی قابل بهرهبرداری است که احراز هویت دومرحلهای فعال باشد. اگرچه این قابلیت به صورت پیشفرض غیرفعال است، بسیاری از مدیران سایت آن را برای افزایش امنیت فعال میکنند.
شناسه CVE-2024-10924 تمامی نسخههای افزونه از ۹.۰.۰ تا ۹.۱.۱.۱ را در نسخههای «رایگان»، “Pro” و “Pro Multisite” تحت تأثیر قرار داده است.
توسعهدهنده افزونه، این نقص را با بهروزرسانی عملکرد (check_login_and_get_user) و مدیریت صحیح خطاهای login_nonce برطرف کرده است.
این اصلاحات در نسخه ۹.۱.۲ افزونه اعمال شده است، که در تاریخ ۱۲ نوامبر برای نسخه Pro و ۱۴ نوامبر برای کاربران نسخه رایگان منتشر شد.
شرکت Wordfence توصیه میکند که ارائهدهندگان خدمات میزبانی وب، افزونه را به صورت اجباری در سایتهای مشتریان بهروزرسانی کنند و پایگاه دادههای خود را برای شناسایی نسخههای آسیبپذیر اسکن نمایند.
کاربران نسخه Pro که به دلیل انقضای مجوز، بهروزرسانیهای خودکار برای آنها غیرفعال شده است، باید به صورت دستی به نسخه ۹.۱.۲ بهروزرسانی کنند.
طبق آمار ارائهشده توسط WordPress.org، تاکنون حدود ۴۵۰,۰۰۰ دانلود از نسخه جدید افزونه انجام شده است. با وجود این، بیش از ۳,۵۰۰,۰۰۰ سایت همچنان در معرض خطر این آسیبپذیری قرار دارند.
این نقص امنیتی نشاندهنده اهمیت بهروزرسانیهای منظم و نظارت دقیق بر افزونههای مورد استفاده در سایتهای وردپرس است.
مدیران سایتها باید هرچه سریعتر افزونههای خود را به آخرین نسخه بهروزرسانی کنند تا از وقوع حملات احتمالی جلوگیری شود.
منبع: تکنک
این مطلب بدون برچسب می باشد.
چهارمین کنفرانس ملی جلبک شناسی ایران با حضور فعالان حوزه صنعت و دانشگاه در تاریخ ۲ و ۳ بهمن امسال در محل سازمان تحقیقات، آموزش و پرورش و توسعه کشاورزی (تهران) برگزار میشود. به گزارش ایسنا، دکتر مریم عامری، عضو هیئت علمی پژوهشکده بیوتکنولوژی صنعتی جهاددانشگاهی با اعلام این خبر اظهار کرد: در این کنفرانس […]
ایسنا/مرکزی مدیرعامل شرکت فناوری بن یاختههای رویان گفت: سالانه ۲۵ هزار نمونه خون بندناف در کشور ذخیره می شود. مرتضی ضرابی، ۲۷ دیماه در نشست با اصحاب رسانه اظهار کرد: بانک خون بند ناف و سلولهای بنیادی در سال ۱۳۸۴ به همت دکتر کاظمی آشتیانی با هدف تامین سلول بنیادی برای بیماریهای بدخیم کار خود […]
سامسونگ بهروزرسانی نرمافزاری جدیدی برای گلکسی S20 FE 5G منتشر کرد. درحالحاضر، این بهروزرسانی فقط برای نسخهی دارای قفل اپراتور در آمریکا دردسترس است و پچ امنیتی جدیدی بههمراه دارد تا امنیت گوشی را افزایش دهد. آپدیت جدید برای گوشی سامسونگ با فرمور G781USQSKHXL2 منتشر شده و شامل پچ امنیتی ژانویهی ۲۰۲۵ (دی و بهمن) […]
رئیس سازمان فضایی، از نقش فناوری هوش مصنوعی به عنوان یک ابزار همهگیر، در تمامی صنایع از جمله صنعت فضایی و ضرورت استفاده از آن در بخش بالادست و پاییندست این صنعت گفت. به گزارش ایسنا، نشست خبری سازمان فضایی با حضور حسن سالاریه روز گذشته و در محل این سازمان برگزار شد. در این […]