MalCare، Blogvault، و افزونه‌های WPRemote آسیب‌پذیری‌ها را وصله می‌کنند که امکان تصاحب سایت از طریق اعتبارنامه‌های API به سرقت رفته – WP Tavern

درخواست ها با مقایسه یک راز مشترک ذخیره شده به عنوان متن ساده در پایگاه داده وردپرس با راز ارائه شده توسط برنامه راه دور MalCare احراز هویت می شوند.

دو روز پس از انتشار توصیه امنیتی Snicco با اثبات مفهوم، MalCare یک پچ را فشار داد در نسخه 5.16 در تاریخ 8 ژوئیه 2023 به همراه اطلاعیه ای در وبلاگ افزونه:

بهره برداری مستلزم رعایت یک پیش شرط است، مانند سایتی با آسیب‌پذیری تزریق SQL در یک افزونه، موضوع یا هسته وردپرس، یا پایگاه داده در معرض خطر در سطح میزبانی یا مشمول آسیب‌پذیری دیگری است که به مهاجم اجازه می‌دهد بخواند یا آپدیت گزینه های وردپرس

کالوین آلکان، محقق امنیت وردپرس، گفت: MalCare از رمزنگاری شکسته برای احراز هویت درخواست‌های API از سرورهای راه دور خود به سایت‌های وردپرس متصل استفاده می‌کند.

این اقدامات مخرب بالقوه شامل ایجاد کاربران سرکش، آپلود فایل‌های تصادفی در سایت و نصب و حذف افزونه‌ها است.

آلکان گفت: «MalCare جزئیات کامل این آسیب‌پذیری را سه ماه قبل از انتشار عمومی دریافت کرده است، و علی‌رغم ارائه کمک (رایگان) ما، آن‌ها به‌طور نامحسوس آن را رد کردند زیرا «ظاهر» این استاندارد صنعتی برای احراز هویت API است.

Snicco، یک ارائه دهنده خدمات امنیتی وردپرس، دارد توصیه ای منتشر کرد بر روی یک آسیب پذیری در افزونه MalCare که در بیش از 300000 سایت فعال است.

این می تواند به مهاجمان اجازه دهد تا به طور کامل سایت را تحت کنترل خود درآورند زیرا می توانند برنامه راه دور MalCare را جعل کنند و هر گونه اقدام اجرا شده را انجام دهند.

احراز هویت یک سیستم حیاتی است و هر گونه پیشرفت باید با دقت انجام شود. ما افزونه‌های مختلف و بهترین روش‌ها را در اکوسیستم خود بررسی کرده‌ایم تا راه‌حل خود را ارائه دهیم.

اسنیکو خاطرنشان کرد که همین آسیب‌پذیری در افزونه‌های WPRemote (20 هزار نصب) و Blogvault (100 هزار نصب) نیز وجود دارد، زیرا کدهای مشابهی دارند. کاربران هر یک از این افزونه ها یا افزونه MalCare باید در اسرع وقت پس از انتشار توصیه های آسیب پذیری و اثبات مفهوم، به آخرین نسخه ها به روز شوند.


منبع: https://wptavern.com/malcare-blogvault-and-wpremote-plugins-patch-vulnerabilities-allowing-site-takeover-through-stolen-api-credentials

MalCare گزارش می دهد که کاربران آن هیچ مدرکی دال بر سوء استفاده از این آسیب پذیری ندیده اند.

علاوه بر این، نگرانی‌هایی مطرح شد، زیرا آسیب‌پذیری مستلزم پیش‌شرطی است که به خودی خود آسیب‌پذیر خواهد بود.»

در شرایط نادر، جایی که یک سایت دارای آسیب‌پذیری تزریق SQL با شدت بالا است، ممکن است مهاجم بتواند کلید MalCare را بخواند. برای رسیدگی به چنین مسائلی، ما در حال تقویت بیشتر سیستم های احراز هویت خود هستیم.

با توجه به گفتمان عمومی فعلی، ما به روز رسانی افزونه خود را تسریع می کنیم. ما یک عرضه توسط EOD را آغاز خواهیم کرد.