محركات البحث

قد تؤثر ثغرة BuddyPress WordPress على ما يصل إلى 100000 موقع

تؤثر ثغرة أمنية تم الكشف عنها حديثًا على المكون الإضافي BuddyPress، وهو مكون إضافي لـ WordPress مثبت في أكثر من 100000 موقع ويب. تتيح الثغرة الأمنية، التي تم تصنيف مستوى التهديد بها 7.3 (مرتفع)، للمهاجمين غير المصادق عليهم تنفيذ رموز قصيرة عشوائية.

BuddyPress وورد البرنامج المساعد

يمكّن المكون الإضافي BuddyPress مواقع WordPress من إنشاء ميزات المجتمع مثل ملفات تعريف المستخدمين وتدفقات الأنشطة والرسائل الخاصة والمجموعات. يتم استخدامه بشكل شائع في مواقع العضوية والمجتمعات عبر الإنترنت ويتم تثبيته على أكثر من 100000 موقع WordPress.

يتمتع BuddyPress بسجل جيد فيما يتعلق بنقاط الضعف. تم الإبلاغ عن ثغرة أمنية واحدة فقط طوال عام 2025، وهي ثغرة تهديد متوسطة معتدلة نسبيًا، تم تصنيفها عند مستوى تهديد 5.3 على مقياس من 1 إلى 10.

تنفيذ رمز قصير تعسفي غير مصادق عليه

يمكن استغلال الثغرة الأمنية من قبل مهاجمين غير مصادق عليهم. لا يحتاج المهاجم إلى حساب WordPress أو أي مستوى من وصول المستخدم لإثارة المشكلة.

يكون المكون الإضافي BuddyPress عرضة للتنفيذ العشوائي للرمز القصير في جميع الإصدارات حتى الإصدار 14.3.3. وهذا يعني أنه يمكن للمهاجم تنفيذ الرموز القصيرة على موقع الويب. يستخدم WordPress الرموز المختصرة لإضافة وظائف ديناميكية إلى الصفحات والمشاركات. نظرًا لأن المكون الإضافي لا يتحقق بشكل صحيح من صحة الإدخال قبل تنفيذ الرموز القصيرة، يمكن للمهاجمين أن يتسببوا في قيام الموقع بتشغيل رموز قصيرة غير مصرح لهم باستخدامها.

سبب الثغرة الأمنية هو فقدان التحقق من الصحة قبل تمرير الإدخال المقدم من المستخدم إلى وظيفة do_shortcode.

وصف Wordfence المشكلة:

“إن البرنامج الإضافي BuddyPress لـ WordPress عرضة للتنفيذ التعسفي للرمز القصير في جميع الإصدارات حتى 14.3.3، بما في ذلك. ويرجع ذلك إلى أن البرنامج يسمح للمستخدمين بتنفيذ إجراء لا يتحقق من صحة القيمة بشكل صحيح قبل تشغيل do_shortcode. وهذا يجعل من الممكن للمهاجمين غير المصادقين تنفيذ رموز قصيرة عشوائية.”

وهذا يعني أن المهاجمين يمكنهم تشغيل رمز قصير والذي بدوره سينفذ أي إجراء من المفترض أن يقوم بتشغيله، والذي في أسوأ الحالات قد يؤدي إلى كشف ميزات أو وظائف الموقع المقيدة. اعتمادًا على الرموز القصيرة المتوفرة على الموقع، يمكن أن يمكّن ذلك المهاجمين من الوصول إلى المعلومات الحساسة أو تعديل محتوى الموقع أو التفاعل مع المكونات الإضافية الأخرى بطرق غير مقصودة.

ولا تعتمد الثغرة الأمنية على إعدادات الخادم الخاصة أو التكوينات الاختيارية. يتأثر أي موقع يقوم بتشغيل إصدار ضعيف من البرنامج الإضافي.

تم تصحيح المشكلة في الإصدار 14.3.4 من BuddyPress. يجب على مستخدمي المكون الإضافي التحديث إلى الإصدار 14.3.4 أو الأحدث لإصلاح الثغرة الأمنية.

صورة مميزة بواسطة Shutterstock / تسجيل الدخول


Source link

مقالات ذات صلة

إطلاق Podcast من Google، وجنرال الطلب، وإعلانات ChatGPT

وضع الذكاء الاصطناعي يصبح شخصيًا، وجوجل تحذر من الاستضافة المجانية

تعتبر بيانات المستخدم مهمة في أنظمة التصنيف الخاصة بجوجل. ما تعلمناه من إعلان استئناف ليز ريد

أفضل 5 منشورات مدونتنا لعام 2025 (وما الذي جعلها ناجحة)

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى