أعلنت قاعدة البيانات الوطنية للثغرات الأمنية أنه تم اكتشاف مكون إضافي مشهور لبرنامج Google Analytics WordPress تم تثبيته في أكثر من 3 ملايين يحتوي على ثغرة أمنية في البرمجة النصية عبر المواقع المخزنة (XSS).
XSS مخزنة
يحدث هجوم البرمجة النصية عبر المواقع (XSS) بشكل عام عندما يكون جزء من موقع الويب الذي يقبل إدخال المستخدم غير آمن ويسمح بإدخال غير متوقع ، مثل البرامج النصية أو الروابط.
يمكن الاستفادة من ثغرة XSS للحصول على وصول غير مصرح به إلى موقع ويب ويمكن أن يؤدي إلى سرقة بيانات المستخدم أو الاستيلاء على الموقع بالكامل.
يصف مشروع أمان التطبيق المفتوح العالمي (OWASP) غير الربحي كيف تعمل ثغرة XSS:
"يمكن للمهاجم استخدام XSS لإرسال برنامج نصي ضار إلى مستخدم مطمئن. ليس لدى مستعرض المستخدم النهائي طريقة لمعرفة أنه لا ينبغي الوثوق بالبرنامج النصي ، وسيقوم بتنفيذ البرنامج النصي.
نظرًا لأنه يعتقد أن النص البرمجي جاء من مصدر موثوق به ، يمكن للنص البرمجي الضار الوصول إلى أي ملفات تعريف ارتباط أو رموز مميزة للجلسة أو معلومات حساسة أخرى يحتفظ بها المتصفح ويتم استخدامها مع هذا الموقع ".
XSS المخزن ، والذي يمكن القول أنه أسوأ ، هو الذي يتم فيه تخزين البرنامج النصي الضار على خوادم موقع الويب نفسه.
تم اكتشاف أن المكون الإضافي MonsterInsights - Google Analytics Dashboard for WordPress يحتوي على نسخة XSS مخزنة من الثغرة الأمنية.
MonsterInsights - لوحة تحكم Google Analytics لثغرة أمنية في WordPress
تم تثبيت المكون الإضافي MonsterInsights Google Analytics في أكثر من ثلاثة ملايين موقع ويب ، مما يجعل هذه الثغرة الأمنية أكثر إثارة للقلق.
شركة WordPress Security ، Patchstack ، التي اكتشفت الثغرة الأمنية ، التفاصيل المنشورة:
اكتشف Rafie Muhammad (Patchstack) وأبلغ عن هذه الثغرة الأمنية في البرمجة النصية للمواقع (XSS) في WordPress Google Analytics بواسطة MonsterInsights Plugin.
قد يسمح هذا لممثل ضار بإدخال نصوص ضارة ، مثل عمليات إعادة التوجيه والإعلانات وحمولات HTML الأخرى إلى موقع الويب الخاص بك والذي سيتم تنفيذه عندما يزور الضيوف موقعك.
تم إصلاح هذه الثغرة الأمنية في الإصدار 8.14.1 ".
• تغيير البرنامج المساعد MonsterInsights في مستودع المكونات الإضافية لـ WordPress ، قدم شرحًا مبهمًا إلى حد ما لتصحيح الأمان:
"ثابت: أصلحنا خطأ تحذير PHP وأضفنا تشديدًا أمنيًا إضافيًا."
"تقوية الأمان" هو مصطلح يمكن تطبيقه على العديد من المهام المتعلقة بتقليل نواقل الهجوم ، مثل إزالة رقم الإصدار.
نشر WordPress ملف صفحة كاملة حول تشديد الأمان التي توصي بمهام تعزيز الأمان مثل النسخ الاحتياطية لقاعدة البيانات العادية ، والحصول على السمات والمكونات الإضافية من مصادر موثوقة ، واستخدام كلمات مرور قوية.
كل هذه الأنشطة تشديد أمني.
هذا هو السبب في أن استخدام عبارة "تشديد الأمان" هو مصطلح عام وعام لاستخدامه في شيء محدد (ومهم) مثل تصحيح ثغرة أمنية في XSS ، مما قد يؤدي بالمستخدم إلى تخطي تحديث المكون الإضافي الخاص به.
الإجراء الموصى به
يوصي Patchstack جميع مستخدمي MonsterInsights Analytics Plugin بتحديث مكون WordPress الإضافي على الفور إلى أحدث إصدار أو على الأقل الإصدار 8.14.1.
اقرأ إعلان قاعدة بيانات الثغرات الأمنية الوطنية الأمريكية:
اقرأ إعلان Patchstack:
WordPress Google Analytics by MonsterInsights Plugin <= 8.14.0 عرضة لبرمجة الموقع عبر (XSS)
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- أفلاطونايستريم. ذكاء بيانات Web3. تضخيم المعرفة. الوصول هنا.
- سك المستقبل مع أدرين أشلي. الوصول هنا.
- شراء وبيع الأسهم في شركات ما قبل الاكتتاب مع PREIPO®. الوصول هنا.
- المصدر https://www.searchenginejournal.com/monsterinsights-wordpress-plugin-vulnerability/487510/
