طراحی سایت
نقص امنیتی وردپرس

نقص امنیتی وردپرس

نقص امنیتی وردپرس CVE-2022-216x

اخیرا چند نقص امنیتی وردپرس کشف شده که قبل از نسخه 5.8.3 وجود دارد. این آسیب پذیری ها در ژانویه 2022 اعلام شده و وب سایت های بسیاری در صورت عدم رفع این باگ امنیتی در خطر هک قرار می گیرند. این آسیب پذیری ها در واقع سه مورد هستند با شماره های  CVE-2022-21663، CVE-2022-21664 و CVE-2022-21661

 

دلیل آسیب پذیری:

وردپرس یک سیستم مدیریت محتوای اوپن سورس و تحت وب است که با زبان برنامه نویسی php و دیتابیس های MySQL/MariaDB ایجاد شده. اخیر در یکی از کلاس های ورودی کاربر به نام WP_Tax_Query که در فایل های class-wp-tax-query.php و class-wp-meta-query.php  وجود دارد یک باگ یا مشکل SQL Injection کشف شده که به مهاجم یا هکر اجازه دسترسی به اطلاعات زیادی در دیتابیس می دهد.مورد دیگری که در صورت استفاده از WordPress Multisite برای کاربران Super Admin رخ می دهد و آن هم از نوع SQL Injection می باشد.

 

روش رفع آسیب پذیری:

به منظور رفع مشکل با توجه به اینکه چند مورد همزمان گزارش شده توصیه می شود در اسرع وقت نسخه ودرپرس سایت مورد استفاده را به نسخه بالاتر از 5.8.2 ارتقا دهید. این ارتقا به صورت خودکار مشکل مربوطه را رفع می کند.
در صورتی که به هر دلیلی امکان ارتقا نداشتید برای رفع مشکل فایل src/wp-includes/class-wp-meta-query.php در خط 815 را مانند مثال زیر اصلاح کنید:


$alias = preg_replace( '/\W/', '_', $sibling['alias'] );

برای فایل src/wp-includes/class-wp-tax-query.php خط 530 نیاز به اصلاح دارد:

$alias = preg_replace( '/\W/', '_', $sibling['alias'] );

توضیحات بیشتر در گیت هاب

فایل class-wp-tax-query.php در خط 559 به شکل زیر:

$query['terms'] = array_unique( (array) $query['terms'] );

منبع گیت هاب

رفع آسب پذیری دیگری که برای وردپرس های نوع Multisite یا چند وب سایته صورت می گیرد تنها از طریق برزورسانی به نسخه 5.8.3 یا آخرین نسخه قابل رفع می باشد.

هر گونه کپی برداری از این مطلب تنها با درج لینک این صفحه به عنوان منبع از وبلاگ شبکه دی بلامانع است

مطالب مرتبط:

دانلود و نصب وردپرس 6

دیدگاه و تنظیمات گفت و گو

پیدا کردن قالب در وردپرس

طراحی سایت فروشگاهی

3
برچسب ها:

3 نظرات در مورد “نقص امنیتی وردپرس

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.