يکشنبه ۲ دی ۱۴۰۳ , 22 Dec 2024
جالب است ۰
محققان حوزه امنیت سایبری یک آسیب‌پذیری بحرانی در افزونه miniOrange وردپرس کشف کرده‌اند.
محققان حوزه امنیت سایبری یک آسیب‌پذیری بحرانی در افزونه miniOrange وردپرس کشف کرده‌اند.
 
به گزارش افتانا به نقل از هکر نیوز، یک نقص امنیتی بحرانی در افزونه ورود و ثبت نام اجتماعی miniOrange برای وردپرس کشف  شده است که می‌تواند یک عامل مخرب را قادر به ورود به سیستم کند زیرا اطلاعات ارائه شده توسط کاربر در مورد آدرس ایمیل قبلاً فاش شده است.
 
miniOrange یک افزونه محبوب و ضروری وردپرس است که راه‌حل‌های امنیتی در اختیار صاحبان وب‌سایت قرار می‌دهد و همچنین، طیف وسیعی از ویژگی‌های امنیتی مانند تأیید هویت و مدیریت کاربر را برای وب‌سایت‌های وردپرسی ارائه می‌کند و به کاربران این امکان می‌دهد تا با استفاده از اعتبار رسانه‌های اجتماعی خود از پلتفرم‌ها و ارائه‌دهندگان خدمات محبوب، وارد یک وب سایت وردپرسی شوند.
 
هدف استفاده از این پلاگین که در بیش از ۳۰ هزار سایت استفاده می‌شود، افزایش امنیت سایت‌های وردپرس با افزودن یک لایه حفاظتی اضافی، در برابر دسترسی‌های غیرمجاز است.
 
این آسیب‌پذیری بحرانی با شناسه CVE-2023-2982 و امتیاز ۹.۸ ردیابی شده است. یک مهاجم تأیید هویت نشده می‌تواند در صورت داشتن آدرس ایمیل، به حساب کاربری سایت دسترسی پیدا کند و حتی می‌تواند به حساب ادمین سایت هم دسترسی داشته باشد.
 
مشکل اصلی این آسیب پذیری در کلید رمزنگاری است. کلید رمزنگاری برای امنیت اطلاعات در هنگام ورود به سیستم با استفاده از حساب‌های رسانه‌های اجتماعی استفاده می‌شود. رمزنگاری، یک لایه امنیتی اضافی برای محافظت در برابر دستکاری‌های غیرمجاز و تأیید هویت غیرمجاز اضافه می‌کند. در نسخه‌های آسیب‌پذیر این پلاگین، کلید رمزنگاری کد سختی دارد. از این رو، پلاگین را در معرض آسیب‌پذیری قرار می‌دهد.
 
نکته قابل توجه دیگر این است که این کلید رمزنگاری شده در نسخه‌های مختلف وردپرس یکسان باقی می‌ماند و باعث می‌شود افزونه در دسترس مهاجمان قرار گیرد. مهاجم می‌تواند یک درخواست معتبر با یک آدرس ایمیل رمزنگاری شده مناسب، برای شناسایی کاربر ایجاد کند.
 
رفع آسیب‌پذیری bypass تأیید هویت، علاوه بر حفظ امنیت وب‌سایت‌های آسیب‌پذیر، برای حفظ اطلاعات کاربران آن‌ها نیز ضروری است.
 
پلاگین miniOrange وردپرس در برابر تأیید هویت در نسخه‌های ۷.۶.۴ آسیب‌پذیر است. به‌روزرسانی پلاگین به نسخه  ۷.۶.۵ این آسیب‌پذیری را رفع می‌کند.
 
منبع: The Hacker News
کد مطلب : 21059
https://aftana.ir/vdcgyz9x.ak9qn4prra.html
ارسال نظر
نام شما
آدرس ايميل شما
کد امنيتی