خلاصه: وردپرس در بهروزرسانی جدید خود به نسخه ۴.۸.۲ نه آسیبپذیری که نسخههای ۴.۸.۱ و قبلتر را تحت تاثیر قرارداده بود را وصله کرد. این آسیبپذیریها شامل اسکریپت بین-وبگاهی، تزریق SQL، پیمایش مسیر و open redirect میباشند.
نسخه ۴.۸.۲ وردپرس ۹ آسیبپذیری که نسخههای ۴.۸.۱ و قبلتر را تحت تاثیر قرارداده بود را وصله کرد. این آسیبپذیریها شامل اسکریپت بین-وبگاهی، تزریق SQL و پیمایش مسیر میباشند.
این بهروزرسانی امنیتی به آسیبپذری بالقوهی تزریق SQL میپردازد که ناشی از تابع $wpdb->prepare() بوده که درخواستهای غیرمنتظره و ناامن ایجاد میکند. این آسیبپذیری که توسط یک محقق با نام مستعار Slavco گزارش شده است، بهطور مستقیم بر روی هستهی وردپرس تاثیر نمیگذارد؛ اما با این وجود توسعهدهندگان سختگیریهایی را برای جلوگیری از ایجاد آسیبپذیری توسط افزونهها و قالبها اضافه کرده اند.
پنج آسیبپذیری XSS نیز در آخرین نسخه وصله شد که این آسیبپذیریها در oEmbed discovery، ویرایشگر تصویر، ویرایشگر افزونه، اسم قالبها و نوع پیوند وجود داشتند.
یکی دیگر از اعضای تیم امنیتی وردپرس یک آسیبپذیری پیمایش مسیر در سفارشیساز (customizer) کشف کرد؛ یک آسیبپذیری مشابه دیگر نیز در کد unzipping فایل پیدا شد. در نهایت نسخهی ۴.۸.۲ یک آسیبپذیری open redirect کشف شده در صفحههای ویرایش کاربر را نیز وصله کرد.
با توجه به محبوبیت این سیستم مدیریت محتوا، اصلا تعجبآور نیست که بیشتر از سایر CMSها مورد هدف قرار گیرد. و اصلا غیرمعمول نیست که هکرها در مدت کوتاهی پس از افشای موجودیت این آسیبپذیریها به بهرهبرداری از آنها بپردازند.
همچنین لازم به ذکر است که وردپرس در آوریل برنامهای را برای تشویق هکرهای کلاهسفید به کشف آسیبپذیریها ترتیب داده و به کسانی که آسیبپذیریهای این سامانه مدیریت محتوا را کشف و اعلام میکنند جایزه خواهد داد.
