أخبار أمنية منوعةأخبار الثغرات والفايروسات

اكتشاف ثغرة SQL Injection في إضافة Huge IT Slider الخاصة بسكربت WordPress

تم أرشفة هذا المحتوى


أكثر من 50.000 ألف مستخدم نشط لإضافة الـ Huge IT Slider الخاصة بنظام إدارة المحتوى WordPress تم نصحهم بالترقية إلى الإصدار الأخير، وذلك لإغلاق ثغرة أمنية يمكن استغلالها من أي شخص لعمل هجوم من نوع SQL Injection حقن قاعدة البيانات.

wordpress-vulnerability

Huge IT Slider هي إضافة مشهورة نسبياً تستخدم لإضافة وتخصيص شرائح للمواقع التي تعمل بنظام إدارة المحتوى WordPress.

يرجع سبب وجود الثغرة إلى الفلترة غير الكافية للبيانات المدخلة عند عمل ‘removeslide’ والتي تمر بواسطة HTTP GET إلى ‘/wp-admin/admin.php’ عندما يتم تغيير الباراميتر إلى ‘popup_posts’ أو ‘edit_cat’ وقام موقع High-Tech Bridge بالتنويه عن ذلك في نصائح أمنية وقام بطرح طريقتين للاستغلال بالإضافة إلى كود الاستغلال.

وتعد هذه الثغرة متوسطة الخطورة، حيث أنه لإتمام الهجوم فالمهاجم يحتاج لصلاحيات المدير، بالإضافة إلى ذلك الثغرة يمكن استغلالها بواسطة أي شخص لكن باستخدام Cross-Site Request Forgery .

العديد من المطورين قد لاحظوا وجود هذه الثغرة، وأكدوا أن الثغرة موجود في الإصدار 2.6.8 وعلى الأرجح في جميع الإصدارات التي تسبق هذا الإصدار، وتم إصلاحها في الإصدار الأخير 2.7.0.

عصام صابر

عصام صابر من مصر، محرر أخبار في مجتمع iSecur1ty , مهتم بالبرمجة بلغة PHP وكل ما هو جديد بمجال أمن المعلومات والهاكر الأخلاقي.

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى