کشف آسیب‌پذیری بحرانی در افزونه miniOrange وردپرس

کمیته رکن چهارم – محققان حوزه امنیت سایبری یک آسیب‌پذیری بحرانی در افزونه miniOrange وردپرس کشف کرده‌اند.

یک نقص امنیتی بحرانی در افزونه ورود و ثبت نام اجتماعی miniOrange برای وردپرس کشف شده است که می‌تواند یک عامل مخرب را قادر به ورود به سیستم کند زیرا اطلاعات ارائه شده توسط کاربر در مورد آدرس ایمیل قبلاً فاش شده است.

miniOrange یک افزونه محبوب و ضروری وردپرس است که راه‌حل‌های امنیتی در اختیار صاحبان وب‌سایت قرار می‌دهد و همچنین، طیف وسیعی از ویژگی‌های امنیتی مانند تأیید هویت و مدیریت کاربر را برای وب‌سایت‌های وردپرسی ارائه می‌کند و به کاربران این امکان می‌دهد تا با استفاده از اعتبار رسانه‌های اجتماعی خود از پلتفرم‌ها و ارائه‌دهندگان خدمات محبوب، وارد یک وب سایت وردپرسی شوند.

هدف استفاده از این پلاگین که در بیش از ۳۰ هزار سایت استفاده می‌شود، افزایش امنیت سایت‌های وردپرس با افزودن یک لایه حفاظتی اضافی، در برابر دسترسی‌های غیرمجاز است.

این آسیب‌پذیری بحرانی با شناسه CVE-2023-2982 و امتیاز ۹.۸ ردیابی شده است. یک مهاجم تأیید هویت نشده می‌تواند در صورت داشتن آدرس ایمیل، به حساب کاربری سایت دسترسی پیدا کند و حتی می‌تواند به حساب ادمین سایت هم دسترسی داشته باشد.

مشکل اصلی این آسیب پذیری در کلید رمزنگاری است. کلید رمزنگاری برای امنیت اطلاعات در هنگام ورود به سیستم با استفاده از حساب‌های رسانه‌های اجتماعی استفاده می‌شود. رمزنگاری، یک لایه امنیتی اضافی برای محافظت در برابر دستکاری‌های غیرمجاز و تأیید هویت غیرمجاز اضافه می‌کند. در نسخه‌های آسیب‌پذیر این پلاگین، کلید رمزنگاری کد سختی دارد. از این رو، پلاگین را در معرض آسیب‌پذیری قرار می‌دهد.

نکته قابل توجه دیگر این است که این کلید رمزنگاری شده در نسخه‌های مختلف وردپرس یکسان باقی می‌ماند و باعث می‌شود افزونه در دسترس مهاجمان قرار گیرد. مهاجم می‌تواند یک درخواست معتبر با یک آدرس ایمیل رمزنگاری شده مناسب، برای شناسایی کاربر ایجاد کند.

رفع آسیب‌پذیری bypass تأیید هویت، علاوه بر حفظ امنیت وب‌سایت‌های آسیب‌پذیر، برای حفظ اطلاعات کاربران آن‌ها نیز ضروری است.

پلاگین miniOrange وردپرس در برابر تأیید هویت در نسخه‌های ۷.۶.۴ آسیب‌پذیر است. به‌روزرسانی پلاگین به نسخه ۷.۶.۵ این آسیب‌پذیری را رفع می‌کند.

منبع: هکر نیوز

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


Type The Green Captcha Characters Below.