نقص امنیتی وردپرس
نقص امنیتی وردپرس CVE-2022-216x
اخیرا چند نقص امنیتی وردپرس کشف شده که قبل از نسخه 5.8.3 وجود دارد. این آسیب پذیری ها در ژانویه 2022 اعلام شده و وب سایت های بسیاری در صورت عدم رفع این باگ امنیتی در خطر هک قرار می گیرند. این آسیب پذیری ها در واقع سه مورد هستند با شماره های CVE-2022-21663، CVE-2022-21664 و CVE-2022-21661
دلیل آسیب پذیری:
وردپرس یک سیستم مدیریت محتوای اوپن سورس و تحت وب است که با زبان برنامه نویسی php و دیتابیس های MySQL/MariaDB ایجاد شده. اخیر در یکی از کلاس های ورودی کاربر به نام WP_Tax_Query که در فایل های class-wp-tax-query.php و class-wp-meta-query.php وجود دارد یک باگ یا مشکل SQL Injection کشف شده که به مهاجم یا هکر اجازه دسترسی به اطلاعات زیادی در دیتابیس می دهد.مورد دیگری که در صورت استفاده از WordPress Multisite برای کاربران Super Admin رخ می دهد و آن هم از نوع SQL Injection می باشد.
روش رفع آسیب پذیری:
به منظور رفع مشکل با توجه به اینکه چند مورد همزمان گزارش شده توصیه می شود در اسرع وقت نسخه ودرپرس سایت مورد استفاده را به نسخه بالاتر از 5.8.2 ارتقا دهید. این ارتقا به صورت خودکار مشکل مربوطه را رفع می کند.
در صورتی که به هر دلیلی امکان ارتقا نداشتید برای رفع مشکل فایل src/wp-includes/class-wp-meta-query.php در خط 815 را مانند مثال زیر اصلاح کنید:
$alias = preg_replace( '/\W/', '_', $sibling['alias'] );
برای فایل src/wp-includes/class-wp-tax-query.php خط 530 نیاز به اصلاح دارد:
$alias = preg_replace( '/\W/', '_', $sibling['alias'] );
توضیحات بیشتر در گیت هاب
فایل class-wp-tax-query.php در خط 559 به شکل زیر:
$query['terms'] = array_unique( (array) $query['terms'] );
رفع آسب پذیری دیگری که برای وردپرس های نوع Multisite یا چند وب سایته صورت می گیرد تنها از طریق برزورسانی به نسخه 5.8.3 یا آخرین نسخه قابل رفع می باشد.
هر گونه کپی برداری از این مطلب تنها با درج لینک این صفحه به عنوان منبع از وبلاگ شبکه دی بلامانع است
مطالب مرتبط:
وردپرس من نسخه 4 هست میشه به 5 ارتقا بدم؟
چرا نمیشه اول ولی بکاپ بگیر از سابت ممکنه اگر پلاگین قدیمی داری اونا مشکل داشته باشن ولی هر چی باشه قابل رفعه
کلا باید آپدیت کرد وردپرس بدون آپدیت خیلی مشکلی پیدا می کند