مطالب مطالب

هشدار! هکرها می‏توانند گذرواژه کاربران سایت‏هایی که با وردپرس نوشته شده‏اند را تغییر دهند

وردپرس محبوب‌ترین سیستم مدیریت محتوا (CMS) در جهان، با داشتن یک آسیب‌پذیری منطقی به هکر این امکان را می‌دهد که گذرواژه‏ی کاربر را تغییر دهد. خطر این آسیب‏پذیری (CVE-2017-8295) زمانی مشخص می‏شود که بدانید همه نسخه‏های وردپرس حتی آخرین نسخه یعنی نسخه 4.7.4 هنوز این آسیب‏پذیری را دارند. این آسیبپذیری سال گذشته توسط یک محقق لهستانی در زمینه امنیت به نامDavid Golunski کشف شد و همان زمان به تیم امنیت وردپرس گزارش شد، اما تیم امنیتی وردپرس تصمیم گرفتند آن را نادیده بگیرند و میلیون‌ها وب سایت اینترنتی وردپرسی را آسیب‌پذیر نگه دارند!
زمانیکه یک کاربر با استفاده از گزینه‏ی بازیابی گذرواژه، درخواست بازیابی گذرواژه را صادر می‏کند، وردپرس یک کد محرمانه تولید و آن را برای آدرس ایمیل کاربر (که در پایگاه داده ذخیره شده) ارسال می‏کند. هنگام ارسال این ایمیل، وردپرس از یک متغیر به نام  SERVER_NAME استفاده می‌کند تا نام هاست (Hostname) را به دست آورده و در جایی دیگر از آن استفاده کند ( در قست From ایمیل یا همان نام سایت مبدأ ارسال کننده ایمیل).


ادامه مطلب در دانلود پیوست

تصاویر مرتبط
تاریخ انتشار مطلب: 27 اردیبهشت 1396
بازدید ها: 160