آسیب‌پذیری File Upload در پلاگین وردپرس

موسسه‌ی Miscreants گزارش داده  که ۱/۶ میلیون وب‌سایت را بررسی کرده است تا امکان آلوده‌سازی آن‌ها ازطریق آسیب‌پذیری File Upload در پلاگین وردپرس را بررسی کند. آسیب‌پذیری مذکور با شناسه‌ی CVE-2021-24284 ثبت شده است که نقص فنی افزونه‌ صفحه‌ساز وردپرس Kaswara Modern VC را نشان می‌دهد. این نقص فنی، امکان بارگذاری فایل‌های جاوااسکریپت مخرب را برای هکر فراهم می‌کند و هکر می‌تواند با نفوذ از این روش، وب‌سایت یک سازمان را در اختیار بگیرید. شرکت Wordfence چند ماه قبل این نقص فنی را کشف کرد و در پیامی هشدار داد که هکرها در حال افزایش حملات خود هستند. این شرکت امنیتی متمرکز بر وردپرس، ادعا می‌کند که به‌طور متوسط روزانه حدود 400 هزار حمله روی وب‌سایت‌های مشتریانش را مسدود می‌کند. توسعه‌دهندگان نرم‌افزار نیز تلاشی برای رفع نقص فنی افزونه نکردند و به‌طورکلی افزونه را متوقف کردند؛ بنابراین، تمامی نسخه‌ها در برابر این نقص فنی ناامن هستند. اگر جزو افرادی هستید که هنوز از این پلاگین آسیب‌پذیر ناامن استفاده می‌کنید، بلافاصله آن را حذف کنید. گذشته‌ از آسیب‌پذیری مستقیم، حتی اگر به وب‌سایتی مستقیماً حمله نشود، همچنان خطر آسیب دیگر وب‌سایت‌ها بر سایرین اثر می‌گذارد. برای مثال، هکر ممکن است از وب‌سایتی آلوده برای فیشینگ یا میزبانی بدافزار سوءاستفاده کند. شرکت Wordfence در هشدار خود توصیه کرده است که افزونه‌ی Kaswara Modern WPBakery Page Builder باید در اسرع وقت و به‌طور کامل حذف شود. همچنین، افزونه‌ی دیگری باید به‌عنوان جایگزین آن پیدا شود. وردفنس درادامه درباره‌ی روش اجرای حمله‌ی هکرها توضیح داد. مهاجمان اغلب فرایند هک را با درخواست POST به «/wp-admin/admin-ajax.php» با استفاده از عملیات AJAX در uploadFontIcon پلاگین انجام می‌دهند که به آنان اجازه می‌دهد فایل‌های آلوده را در وب‌سایت قربانی بارگذاری کنند.