سوءاستفاده‌ی‌ هکرها از یک آسیب‌پذیری روزصفرم در افزونه‌ی‌ وردپرس

به صاحبان سایت‌هایWordPress که از افزونه‌ی"Total Donations" استفاده می‌کنند، توصیه می‌شود که این افزونه را از سرورهای خود حذف کنند تا از سواستفاده‌ی هکرها برای بهره‌برداری از یک آسیب‌پذیری وصله‌نشده در کد آن جلوگیری کنند.

به گزارش پایگاه تحلیلی خبری بانک و صنعت به نقل از مرکز ماهر، این آسیب‌پذیری روز صفرم (CVE-2019-6703)، همه‌ی نسخه‌های Total Donations ازجمله 2.0.5 را تحت تأثیر قرار می‌دهد. Total Donations یک افزونه‌ی تجاری است که صاحبان سایت از آن برای جمع‌آوری و مدیریت کمک‌های مالی از پایگاه‌های کاربران مربوطه‌ی خود استفاده می‌کنند.

به گفته‌ی محققان، کد این افزونه شامل چندین عیب طراحی است که به‌طور ذاتی، افزونه و سایت وردپرس را در معرض نمایش هکرهای خارجی و کاربران دیگر قرار می‌دهد.
این افزونه حاوی نقطه‌ی پایانی AJAX است که می‌تواند توسط هر مهاجم ناشناس راه دور درخواست شود. نقطه‌‌ی پایانی AJAX در یکی از فایل‌های افزونه واقع شده است، به این معنی که غیرفعال کردن افزونه، خطر تهدید را از بین نمی‌برد؛ زیرا مهاجمان می‌توانند به‌طور مستقیم آن فایل را فراخوانی کنند و تنها حذف کامل افزونه می‌تواند سایت‌ها را در برابر سوءاستفاده محافظت کند.
نقطه‌ی پایانی AJAX به مهاجم اجازه می‌دهد تا مقادیر تنظیمات هسته‌ی سایت وردپرس، تنظیمات مرتبط با افزونه و حساب مقصد کمک دریافت‌شده از طریق افزونه را تغییر دهد و حتی لیست‌های Mailchimp (که این افزونه به‌عنوان ویژگی جانبی پشتیبانی می‌کند) را بازیابی کند.
به‌گفته‌ی محققان، تمام تلاش‌ها برای تماس با توسعه‌دهنده‌ی این افزونه بی‌فایده است. به‌نظر می‌رسد که سایت توسعه‌دهنده در ماه مه سال 2018 غیرفعال شده است و فهرست محصولات CodeCanyon این افزونه در همان زمان غیرفعال شده‌اند.
این افزونه دارای کاربران زیادی نیست، با این حال، به احتمال زیاد در سایت‌های فعال با پایگاه‌های کاربری بزرگ نصب شده است و می‌تواند هدف خوبی برای هکرها باشد، از این رو به صاحبان سایت‌ها توصیه می‌شود که این افزونه را به‌طور کلی از سایت‌های خود حذف کنند تا از حملات در امان بمانند.