آسیبپذیری تزریق کد SQL در افزونه WP Statistics که در ارتباط با آمارگیری مورد استفاده قرار میگیرد شناسایی شده است. افزونه یاد شده به مدیران سایتها این توانایی را میدهد تا اطلاعات و جزییاتی در ارتباط با تعداد کاربران آنلاینی که روی سایت آنها قرار دارند، تعداد بازدیدها، تعداد بازدیدکنندگان و همچنین اطلاعات آماری مرتبط با سایت خود را به دست آورند. گروه امنیتی Sucuri که موفق شده است این آسیبپذیری را شناسایی کند در پستی نوشته است: «آسیبپذیری تزریق کد SQL یکی از باگهای مرتبط با برنامههای کاربردی تحت وب است که به هکرها اجازه میدهد محاورههای مخرب SQL را از طریق فیلدهای ورودی به سایتها تزریق کرده، در ادامه مکان قرارگیری بانکهای اطلاعاتی کلیدی را به دست آورده و در نهایت به سرقت اطلاعات بپردازند. آسیبپذیری فوق همچنین به یک هکر اجازه میدهد یک دسترسی از راه دور تایید نشده به سایتها را به دست آورد.»
آسیبپذیری تزریق کد SQL در افزونه WP Statistics درون چند تابع معروف منجمله wp_statistics_searchengine_query قرار دارد. پژوهشگران این شرکت امنیتی اعلام داشتهاند: «این آسیبپذیری به واسطه فقدان مقداردهی اولیه دادههایی به وجود میآید که از سوی کاربران وارد میشود. طیف گستردهای از مقادیری که از سوی کاربران وارد میشود در قالب آرگومانهای ورودی برای بسیاری از توابع این افزونه ارسال میشود. اگر پارامترهای ورودی مورد اعتبارسنجی قرار بگیرند در این حالت آرگومانهای وارد شده مشکلی به وجود نخواهند آورد.» wp_statistics_searchengine_query یکی از این توابع آسیبپذیر است که درون فایل includes/functions/functions.php قرار دارد.
این تابع امتیازات اضافی که به کاربر تخصیص داده میشود را مورد بررسی قرار نمیدهد. در نتیجه یک کاربر عادی این شانس را پیدا میکند تا محاورههایی را به درون بانک اطلاعاتی وارد کرده و در ادامه کدهای مخرب خود را روی بانک اطلاعاتی به مرحله اجرا در آورد. پژوهشگران Sucuri بهطور محرمانه این نقص را به تیم توسعهدهنده افزونه WP Statistics گزارش دادهاند و تیم مربوطه وصله مورد نظر را در قالب جدیدترین نسخه این افزونه یعنی نسخه 12.0.8 عرضه کرده است. اگر شما نیز یک نسخه آسیبپذیر از افزونه فوق را روی سایت خود نصب کردهاید و به کاربران اجازه ثبت نام دادهاید، باید بدانید که در معرض خطر قرار دارید. در نتیجه به شما توصیه میشود در اولین فرصت ممکن افزونه خود را بهروزرسانی کنید.
شبکه