إضافةWP Statistics هي واحدة من إضافات وردبريس الأكثر شعبية، مثبتة على 300 000 مواقع. هذه الإضافة تمكن مستخدمي وردبريس من تتبع الإحصاءات لموقعهم دون الاعتماد على الخدمات الخارجية ويستخدم بيانات كلما كان ذلك ممكنا للاحترام خصوصية المستخدمين.
حيث تم اكتشاف ثغرة SQL Injection في واحدة من إضافة WP Statistics، والتي يمكن استغلالها من قبل قراصنة لسرقة قواعد البيانات وربما الاستيلاء على المواقع المتضررة عن بعد.
SQL Injection هو طريقة لحقن كود، وتستخدم لمهاجمة التطبيقات التي تعتمد على البيانات. هذه الثغرة تسمح للقراصنة أن يضيفوا مدخلات وضعت للتدخل في تفاعل التطبيق مع قواعد البيانات الخلفية. قد يكون الهاكر قادرا على الحصول على بيانات تعسفية من التطبيق، أو تنفيذ الأوامر على خادم قاعدة البيانات نفسه.
ويعزى هذا الضعف بسبب عدم وجود التعقيم في البيانات المقدمة من قبل المستخدم. فمهاجم مع حساب "مشترِك" على الأقل يمكن أن يسرب البيانات الحساسة، وفي ظل الظروف المناسبة، القيام يإعدادات تضر تثبيت وردبريس الخاص بك.
هذه الإضافة لا تحتاج لامتيازات إضافية، مما يسمح للمشتركين بتنفيذ هذا الرمز القصير وحقن البيانات الخبيثة لخصائصه.
لا يوجد تعليقات
أضف تعليق