آپدیت WordPress 5.8.1 به سه مورد امنیتی در REST API ، ویرایشگر Gutenberg و کتابخانه جاوا اسکریپت Lodash می پردازد.
وردپرس 5.8.1 انتشار نسخه بهبود یافته امنیت و پایداری
وردپرس مانند هر نرم افزاری ، بروزرسانی هایی پس از نسخه اصلی منتشر کند تا مشکلات پیش بینی نشده را برطرف کند و همچنین پیشرفت هایی را ارائه دهد که در نسخه اصلی به موقع انجام نشده است.
در وردپرس به این بروزرسانی ها نسخه تعمیر و نگهداری یا تعمیراتی گفته می شود.
این به روز رسانی خاص (5.8.1) همچنین شامل یک به روز رسانی امنیتی نیز هست که برای هسته وردپرس تا حدودی غیر معمول است. و باعث می شود این به روز رسانی از آپدیت های تعمیر و نگهداری معمولی، مهمتر باشد.
مشکلات امنیتی وردپرس برطرف شد
وردپرس 5.8.1 سه آسیب پذیری را برطرف می کند:
- آسیب پذیری داده ها در REST API
- آسیب پذیری برنامه نویسی بین سایتی (XSS) در ویرایشگر بلوک گوتنبرگ
- آسیب پذیری های متعدد شدیدا مهم و ریسکی در کتابخانه جاوا اسکریپت Lodash
هر سه آسیب پذیری فوق به قدری نگران کننده هستند که اعلامیه وردپرس توصیه می کند فوراً نصب وردپرس را به روز کنید.
آسیب پذیری REST API
WordPress REST API رابطی است که به افزونه ها و تم ها اجازه می دهد تا با هسته وردپرس تعامل داشته باشند.
REST API منبعی برای آسیب پذیری های امنیتی بوده است ، از جمله اخیراً با آسیب پذیری Gutenberg Template Library & Redux Framework که بیش از یک میلیون وب سایت را تحت تأثیر قرار داده است.
این آسیب پذیری به عنوان آسیب پذیری قرار گرفتن در معرض داده ها توصیف می شود ، به این معنی که می توان اطلاعات حساس را فاش کرد. در حال حاضر هیچ اطلاعات دیگری در مورد نوع اطلاعات موجود نیست ، اما می تواند به اندازه گذرواژه برای داده ها باشد که می تواند برای ایجاد حمله از طرق دیگر مورد استفاده قرار گیرد.
آسیب پذیری XSS
آسیب پذیری های Cross-Site Scripting (XSS) نسبتاً زیاد اتفاق می افتد. هر زمان که ورودی ای مانند فرم تماس یا ایمیل وجود داشته باشد ،این ریسک می تواند وجود داشته باشد.
شرح آسیب از طریق XSS توسط (OWASP) :
“یک مهاجم می تواند از XSS برای ارسال یک اسکریپت مخرب به یک کاربر مشکوک استفاده کند. مرورگر کاربر نهایی به هیچ طریق نمی تواند بفهمد که به اسکریپت نباید اعتماد کرد و اسکریپت را اجرا می کند.
از آنجا که فکر می کند اسکریپت از یک منبع معتبر آمده است ، اسکریپت مخرب می تواند به هرگونه کوکی ، یا سایر اطلاعات حساس که توسط مرورگر حفظ شده و در آن سایت استفاده می شود دسترسی داشته باشد. این اسکریپت ها حتی می توانند محتوای صفحه HTML را بازنویسی کنند.
این آسیب پذیری خاص بر ویرایشگر بلوک گوتنبرگ تأثیر می گذارد.
آسیب پذیری وردپرس از کتابخانه جاوا اسکریپت Lodash :
این آسیب پذیری ها ممکن است نگران کننده ترین باشند. کتابخانه جاوا اسکریپت Lodash مجموعه ای از اسکریپت هایی است که توسط برنامه نویسان و توسعه دهندگان، مورد استفاده قرار می گیرد و دارای چندین آسیب پذیری است.
وب سایت CVE List تحت حمایت امنیت داخلی ایالات متحده جزئیات این نوع آسیب پذیری را شرح می دهد :
“نسخه های Lodash قبل از 4.17.21 از طریق تابع الگو در برابر Command Injection آسیب پذیر هستند.”
سخن پایانی و مهم:
وردپرس به روز رسانی فوری نیاز دارد !
این آسیب پذیری های امنیتی، اهمیت بروزرسانی را نسبت به گذشته دوچندان می کند.
اعلان رسمی وردپرس برای بروزرسانی:
“از آنجا که این یک نسخه امنیتی است ، توصیه می شود سایت های خود را فورا به روز کنید. همه نسخه های WordPress 5.4 نیز باید سریعا بروز شوند. “