درخواست ها با مقایسه یک راز مشترک ذخیره شده به عنوان متن ساده در پایگاه داده وردپرس با راز ارائه شده توسط برنامه راه دور MalCare احراز هویت می شوند.
دو روز پس از انتشار توصیه امنیتی Snicco با اثبات مفهوم، MalCare یک پچ را فشار داد در نسخه 5.16 در تاریخ 8 ژوئیه 2023 به همراه اطلاعیه ای در وبلاگ افزونه:
بهره برداری مستلزم رعایت یک پیش شرط است، مانند سایتی با آسیبپذیری تزریق SQL در یک افزونه، موضوع یا هسته وردپرس، یا پایگاه داده در معرض خطر در سطح میزبانی یا مشمول آسیبپذیری دیگری است که به مهاجم اجازه میدهد بخواند یا آپدیت گزینه های وردپرس
کالوین آلکان، محقق امنیت وردپرس، گفت: MalCare از رمزنگاری شکسته برای احراز هویت درخواستهای API از سرورهای راه دور خود به سایتهای وردپرس متصل استفاده میکند.
این اقدامات مخرب بالقوه شامل ایجاد کاربران سرکش، آپلود فایلهای تصادفی در سایت و نصب و حذف افزونهها است.
آلکان گفت: «MalCare جزئیات کامل این آسیبپذیری را سه ماه قبل از انتشار عمومی دریافت کرده است، و علیرغم ارائه کمک (رایگان) ما، آنها بهطور نامحسوس آن را رد کردند زیرا «ظاهر» این استاندارد صنعتی برای احراز هویت API است.
Snicco، یک ارائه دهنده خدمات امنیتی وردپرس، دارد توصیه ای منتشر کرد بر روی یک آسیب پذیری در افزونه MalCare که در بیش از 300000 سایت فعال است.
این می تواند به مهاجمان اجازه دهد تا به طور کامل سایت را تحت کنترل خود درآورند زیرا می توانند برنامه راه دور MalCare را جعل کنند و هر گونه اقدام اجرا شده را انجام دهند.
احراز هویت یک سیستم حیاتی است و هر گونه پیشرفت باید با دقت انجام شود. ما افزونههای مختلف و بهترین روشها را در اکوسیستم خود بررسی کردهایم تا راهحل خود را ارائه دهیم.
اسنیکو خاطرنشان کرد که همین آسیبپذیری در افزونههای WPRemote (20 هزار نصب) و Blogvault (100 هزار نصب) نیز وجود دارد، زیرا کدهای مشابهی دارند. کاربران هر یک از این افزونه ها یا افزونه MalCare باید در اسرع وقت پس از انتشار توصیه های آسیب پذیری و اثبات مفهوم، به آخرین نسخه ها به روز شوند.