آسیب پذیری پلاگین گوگل آنالیتیکس وردپرس به بیش از 3 میلیون وب سایت رسیده است
انتشار: خرداد 01، 1402
بروزرسانی: 02 تیر 1404

آسیب پذیری پلاگین گوگل آنالیتیکس وردپرس به بیش از 3 میلیون وب سایت رسیده است


پایگاه داده ملی آسیب پذیری اعلام کرد که یک افزونه محبوب Google Analytics WordPress که در بیش از 3 میلیون نصب شده بود، کشف شد که حاوی آسیب پذیری ذخیره شده Cross-Site Scripting (XSS) است.

XSS ذخیره شده

حمله Cross-Site Scripting (XSS) معمولاً زمانی اتفاق می افتد که بخشی از وب سایت که ورودی کاربر را می پذیرد، ناامن است و اجازه ورودی های پیش بینی نشده مانند اسکریپت ها یا پیوندها را می دهد.

آسیب پذیری XSS می تواند برای دسترسی غیرمجاز به یک وب سایت مورد استفاده قرار گیرد و می تواند منجر به سرقت اطلاعات کاربر یا تصرف کامل سایت شود.

پروژه غیرانتفاعی Open Worldwide Application Security Project (OWASP) توضیح می دهد آسیب پذیری XSS چگونه کار می کند:

«یک مهاجم می تواند از XSS برای ارسال یک اسکریپت مخرب به یک کاربر نامطمئن استفاده کند. مرورگر کاربر نهایی راهی ندارد که بداند اسکریپت نباید قابل اعتماد باشد و اسکریپت را اجرا می کند.

از آنجایی که فکر می کند اسکریپت از یک منبع مطمئن آمده است، اسکریپت مخرب می تواند به کوکی ها، نشانه های جلسه یا سایر اطلاعات حساسی که توسط مرورگر حفظ شده و با آن سایت استفاده می شود، دسترسی داشته باشد.

یک XSS ذخیره شده، که مسلما بدتر است، اسکریپت مخربی است که در آن اسکریپت مخرب در خود سرورهای وب سایت ذخیره می شود.

افزونه MonsterInsights – Google Analytics Dashboard برای وردپرس، دارای نسخه ذخیره شده XSS این آسیب پذیری است.

MonsterInsights – داشبورد Google Analytics برای آسیب پذیری وردپرس

افزونه MonsterInsights Google Analytics در بیش از سه میلیون وب سایت نصب شده است که این آسیب پذیری را نگران کننده تر می کند.

شرکت امنیتی وردپرس، Patchstack که این آسیب پذیری را کشف کرد، جزئیات منتشر شده:

Rafie Muhammad (Patchstack) این آسیب پذیری Cross Site Scripting (XSS) را در Google Analytics وردپرس توسط افزونه MonsterInsights کشف و گزارش کرد.

این می تواند به یک بازیگر مخرب اجازه دهد تا اسکریپت های مخرب مانند تغییر مسیر، تبلیغات و سایر محموله های HTML را به وب سایت شما تزریق کند که هنگام بازدید مهمانان از سایت شما اجرا می شوند.

این آسیب پذیری در نسخه 8.14.1 رفع شده است.

را تغییرات پلاگین MonsterInsights در مخزن پلاگین وردپرس توضیحی تا حدودی مبهم از وصله امنیتی ارائه کرده است:

"اصلاح شد: ما یک خطای هشدار PHP را رفع کردیم و سختی امنیتی اضافی اضافه کردیم."

"سخت امنیتی" اصطلاحی است که می تواند برای بسیاری از وظایف مربوط به کاهش بردارهای حمله مانند حذف شماره نسخه به کار رود.

وردپرس منتشر کرده است کل صفحه در مورد سخت شدن امنیتی که کارهای سخت تر امنیتی مانند پشتیبان گیری منظم از پایگاه داده، دریافت مضامین و افزونه ها از منابع قابل اعتماد و استفاده از رمزهای عبور قوی را توصیه می کند.

همه این فعالیت ها تقویت کننده امنیت هستند.

به همین دلیل است که استفاده از عبارت «سخت سازی امنیتی» یک اصطلاح عمومی و عمومی برای استفاده برای چیزی است که به اندازه اصلاح یک آسیب پذیری امنیتی XSS خاص (و مهم) است، که می تواند باعث شود کاربر از به روزرسانی افزونه خود صرف نظر کند.

عمل پیشنهاد شده

Patchstack توصیه می کند که همه کاربران پلاگین MonsterInsights Analytics افزونه وردپرس خود را فوراً به آخرین نسخه یا حداقل نسخه 8.14.1 به روز کنند.

اطلاعیه پایگاه داده آسیب پذیری ملی ایالات متحده را بخوانید:

CVE-2023-23999 جزئیات

اطلاعیه Patchstack را بخوانید:

افزونه وردپرس Google Analytics توسط MonsterInsights <= 8.14.0 در برابر اسکریپت های متقابل سایت (XSS) آسیب پذیر است.



منبع: https://www.searchenginejournal.com/monsterinsights-wordpress-plugin-vulnerability/487510/