کشف حفره امنیتی جدید در قالب آموزش مجازی wplms وردپرس

خبرهای امنیت شبکه – امنیت وردپرس – قالب wplms

امروز مشخص شد قالب آموزشی وردپرس بنام wplms دچار آسیب پذیری خطرناکی است که می تواند ظرف کمتر از 3 دقیقه سایت شما را بطور کامل دراختیار هکرها قرار دهد !
این آسیب پذیری بر اثر خطای کدنویسی در چک کردن کاربر مدیر هنگام تغییرات در تنظیمات وردپرس رخ می دهد و هکرها قادرند به راحتی با فشار یک دکمه تنظیمات وردپرس سایت شما را آپدیت کنند .
بطور مثال هکرها می توانند کاری کنند تا هر کاربری که این پس در سایت شما ثبت نام می کند بصورت پیش فرض مدیر باشدو پس از آن به سایت ثبت نام کنند! یا آدرس ایمیل مدیر را تغییر دهند و پسورد مدیر را عوض کنند !
پس از دسترسی به حساب مدیر هکرها قادرند کدهای مخرب را به سایت تزریق کرده و backdoor ایجاد نمایند.

آسیب پذیری فوق در فایل func.php و در تابع import_data رخ داده است :

رفع آسیب پذیری : 

قبل از هر چیز امکان ثبت نام کاربر جدید را در وردپرس به صورت موقت غیر فعال کنید .

برای رفع آسیب پذیری به مسیر قالب wplms و پوشه includes رفته و در فایل func.php فانکشن مربوطه را بصورت زیر ویرایش کنید :

در آخر پیشنهاد ما به شما این است که قالب بهتر و مطمئن تری را برای سایت خودانتخاب کنید .

موفق باشید
Amnnet

عنوان : کشف حفره امنیتی جدید در قالب آموزش مجازی wplms وردپرس

0 نظر

پاسخ دهید

می خواهید به بحث بپیوندید ؟

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

شما می‌توانید از این دستورات HTML استفاده کنید: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">