کمیته رکن چهارم – هکرها با سوءاستفاده از نقص امنیتی وردپرس در حال هک کردن این نوع سایتها هستند.
محققان امنیت سایبری از PatchStack یک آسیبپذیری اسکریپت متقابل (XSS) را در Advanced Custom Fields، افزونه محبوب برای سازنده وبسایت وردپرس با بیش از دو میلیون نصب فعال، کشف کردند.
این نقص که با شناسه CVE-2023-30777 ردیابی میشود، به عوامل تهدید اجازه میدهد تا دادههای حساس بازدیدکنندگان را به سرقت ببرند و در برخی موارد، وبسایت را به طور کامل تصاحب کنند.
وردپرس خود را هرچه سریعتر بهروز کنید
PatchStack این آسیبپذیری را در ۲ می کشف کرد و گزارشی را در ۵ می به همراه PoC منتشر کرد. در همین حین، Delicious Brains، اپراتور این افزونه، بهروزرسانی امنیتی را منتشر کردند و افزونه را به نسخه ۶.۱.۶ ارتقا دادند.
اکنون، کلاهبرداران روی این شرط میبندند که اکثر مدیران وبسایت هنوز این افزونه را بهروزرسانی نکردهاند که این امر وبسایت آنها را در برابر این نقص ۶.۱/۱۰ آسیبپذیر میکند.
آمار رسمی سایت WordPress.org بیان میکند که کمتر از یکسوم از همه کاربران (۳۱.۷ درصد) این افزونه را به نسخه ۶.۱ بهروزرسانی کردهاند یعنی هکرها وبسایتهای زیادی برای حمله دارند. گزارش BleepingComputer بیان میکند که حداقل ۱.۴ میلیون سایت هنوز در برابر این نقص XSS آسیبپذیر هستند.
این چهارمین آسیبپذیری مهمی است که در چند سال اخیر در این افزونه یافت میشود.
منبع: افتانا
