یک میلیون سایت WordPress خطرآفرین
مدیران سایت های مبتنی بر WordPress در اولین فرصت نسبت به بررسی به روز بودن افزایه (Plug-in)وJetpack سایت خود اقدام کنند. ضعف امنیتی موجود در نسخه های آسیب پذیر این افزایه می تواند کاربران این سایت ها را هدف حملات سایبری قرار دهد.
Jetpack افزایه معروفی است که امکانات بهینه سازی، مدیریتی و امنیتی را به رایگان در اختیار مدیران سایت قرار می دهد. این افزایه توسط Automattic، شرکت دارنده سرویس وبلاگ نویسی و میزبانی WordPress.com توسعه داده شده و در حال حاضر در بیش از یک میلیون سایت از آن استفاده می شود.
به گزارش شرکت مهندسی شبکه گستر، در اواخر اردیبهشت ماه، محققان شرکت Sucuri وجود ضعفی امنیتی از نوع Cross-Site Scripting را به توسعه دهندگان این افزایه گزارش کردند.
اشکال شناسایی شده در بخش Shortcode Embeds Jetpack است که به کاربران امکان می دهد ویدئوها، تصاویر، مستندات و توئیت های خارجی را در محتوای صفحه اینترنتی درج کنند.
با بهره جویی از این ضعف امنیتی براحتی می توان کد JavaScript مخرب را در بخش Comment صفحه تزریق کرد. بدین ترتیب با فراخوانی شدن صفحه دستکاری شده توسط مهاجم در مرورگر کاربر، کد تزریق شده بطور خودکار اجرا می شود. مهاجم می تواند از این طریق کوکی های اصالت سنجی کاربر را سرقت کند و یا کاربر را به صفحاتی دیگر هدایت کند.
ضعف امنیتی مذکور که در تمامی نسخه های Jetpack ارائه شده از سال 2012 وجود داشته اکنون در نسخه 4.0.3 ترمیم شده است.
بر طبق توضیحات توسعه دهندگان Jetpack اصلاحیه حیاتی عرضه شده برای ترمیم این ضعف امنیتی از طریق بخش به روز رسانی خودکار WordPress اعمال می شود.