به نقل از وب سایت بیت نینجا که یک ابزار امنیتی برای سرور ها محسوب می شود، آسیب پذیری مهمی در افزونه Contact Form 7 پیدا شده است. افزونه ذکر شده در بیش از 5 میلیون وب سایت نصب شده و 70٪ از نسخه های مذکور، از ورژن محافظت نشده 5.3.1 یا قدیمی تر استفاده می کنند. این آسیب پذیری به مهاجمین اجازه می دهد تا با bypass کردن Contact Form 7، فایلی را در هاست کاربر بارگذاری کنند که به عنوان یک اسکریپت در سرور میزبان قابل اجرا باشد.
افزونه فرم تماس 7 می تواند چندین فرم تماس را مدیریت کند. می توانید با کمک این فرم، محتوای نامه ها را به سادگی سفارشی سازی کنید. پلاگین مذکور از ارسال با Ajax ، فیلتر هرزنامه Akismet و همچنین CAPTCHA پشتیبانی می کند.
آسیب پذیری
وردپرس چندین نقش کاربری مانند مدیرکل، مشارکت کننده، ویرایشگر، مشترک، نویسنده و غیره را ارائه می دهد. این آسیب پذیری به مهاجمان اجازه می دهد تا با دسترسی غیر مجاز و از بین بردن هر نوع محدودیت مربوط به پرونده ها، بتوانند به اطلاعات کاربران دسترسی پیدا کنند. بعد از هک، یک کاربر با نقش مشارکت کننده می تواند فرم محتوا را ویرایش کند. این ویژگی باید فقط برای ویراستاران و سرپرستان موجود باشد. با این مجوز، مهاجم همچنین می توانند یک کد مخرب در سایت بارگذاری نماید که برای دستکاری پایگاه داده و به دست آوردن سایر اطلاعات مورد استفاده قرار گیرد و راه را برای حملات بعدی باز کند.
این آسیب پذیری می تواند اثرات جبران ناپذیری مانند تغییر شکل وب سایت یا هدایت بازدیدکنندگان به وب سایتی دیگر، تلاش برای هدایت بازدید کنندگان به سایت های فیشینگ و … را داشته باشد. با این توضیحات پیشنهاد می شود هر چه سریعتر افزونه CONTACT FORM 7 را بروز رسانی نمایید.
اگر سایت شما با آسیب پذیر فوق هک شده است، صرفا بروزرسانی افزونه مشکل را رفع نمی کند، بعد از بروز رسانی افزونه حتما سایت را از طریق یک اسکنر قوی و با کمک یک متخصص امنیت سایت، بررسی و پاکسازی نمایید. (میتوانید از طریق تیکت از همکاران واحد پشتیبانی فنی آی آر سرور کمک بخواهید)
یکی از خطرناکترین تغییراتی که هکرها می توانند با استفاده از این آسیب پذیری انجام دهند، ایجاد مدیران جعلی با دسترسی کامل در سایت است. پس در اولین قدم لازم است تا تمامی کاربران با نقش مدیر را که خودتان ایجاد نکرده اید، حذف نمایید.
باگ امنیتی Contact Form 7 حل شد!
این آسیب پذیری در ابتدا توسط محققان شرکت امنیت وب Astra کشف شد. پاک سازی نام پرونده به صورت کامل در نسخه Contact Form 7 5.3.2 رفع شده و از این بابت مشکلی وجود ندارد.
تمام نسخه های Contact Form 7 زیر 5.3.2 به پایین آسیب پذیرند و باید سریع بروزرسانی شوند.
♥ لطفا خیلی زود دوستان خود را باخبر کنید!
جمهوری اسلامی ایران