افزونهای (Plugin) به نام WP HTML Mail که در بیش از 20 هزار سایت مبتنی بر WordPress نصب شده، دارای یک ضعف امنیتی با درجه اهمیت “بالا” (High) میباشد و میتواند منجر به “تزریق کد” (Code Injection) و عملیات “فریب سایبری” موسوم به فیشینگ (Phishing) شود.
در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه گردیده افزونه مذکور مورد بررسی قرار گرفته است.
WP HTML Mail افزونهای است که به منظور طراحی ایمیلهای سفارشی، اعلانها و به طور کلی پیامهای سفارشی که در بسترهای آنلاین برای مخاطبان موجود در فرم تماس (Contact Form) ارسال میشود، بکار برده میشود. این افزونه با WooCommerceا، Ninja Forms و BuddyPress نیز سازگار میباشد.
با وجود این که تعداد سایتهایی که از این افزونه استفاده میکنند، زیاد نیست ولی بسیاری از آنها مخاطبان زیادی دارند که باعث میشود این ضعف امنیتی تعداد قابل توجهی از کاربران اینترنت را مورد هدف قرار دهد. بر اساس گزارشی از گروه تحقیقاتی وردفنس (.Wordfence, inc)، یک مهاجم بدون احراز هویت میتواند از ضعف امنیتی به شناسه CVE-2022-0218 سوءاستفاده کرده و با تغییر الگوی ایمیل، دادههای مورد نظر خود را در آن قرار دهد.
علاوه بر این، مهاجم میتواند با بهرهجویی از همین آسیبپذیری، ایمیلهای فیشینگ را به کاربرانی که در سایتهای آلوده شده ثبتنام کردهاند، ارسال کند. اشکال در ثبت دو مسیر از توابع REST-API است که جهت بروزرسانی و بازیابی تنظیمات قالب ایمیل مورد استفاده قرار میگیرد. این نقاط پایانی توابع API به اندازه کافی نسبت به دسترسی غیرمجاز محافظت نمیشوند، بنابراین حتی کاربران غیرمجاز نیز میتوانند توابع مذکور را فراخوانی و اجرا کنند.
Wordfence در گزارش خود به نشانی زیر، این مطلب را به تفصیل شرح میدهد:
مهاجم همچنین میتواند علاوه بر حملات فیشینگ، کد JavaScript مخرب را به قالب ایمیل تزریق کند. در این صورت هر زمانی که مدیر سایت به ویرایشگر HTML ایمیل دسترسی پیدا میکند، کد مخرب مذکور اجرا میشود. این به طور بالقوه میتواند افزودن حسابهای Admin جدید، هدایت بازدیدکنندگان سایت به سایتهای فیشینگ، تزریق دربهای پشتی (Back-door) به فایلهای قالب (Theme Files) و حتی تصاحب کامل سایت را برای مهاجم تسهیل کند.
محققان وردفنس آسیبپذیری موجود در این افزونه را در تاریخ 2 دی 1400 کشف و اطلاعرسانی نمودند. بنیاد وردپرس (WordPress.org) در 20 دی به آنها پاسخ داده و در تاریخ 23 دی 1400 با انتشار نسخه 3.1، اقدام به ترمیم ضعف امنیتی مذکور نمود.
به تمامی راهبران امنیتی و مدیران سایتهای وردپرس توصیه میشود در اسرع وقت با مراجعه به نشانیهای زیر، اقدام به بروزرسانی آخرین نسخه نرمافزار WordPress و افزونه WP HTML Mail نمایند.
https://wordpress.org/news/2022/01/wordpress-5-8-3-security-release/
https://wordpress.org/plugins/wp-html-mail/
منبع: