شنبه ۳ آذر ۱۴۰۳ , 23 Nov 2024
جالب است ۰
آسیب‌پذیری در افزونه WP HTML Mail

خطر فیشینگ وردپرسی‌ها را تهدید می‌کند

افزونه WP HTML Mail در وب‌سایت‌های مبتنی بر وردپرس دارای آسیب‌پذیری است که می‌تواند به فیشینگ منجر شود.
منبع : مرکز مدیریت راهبردی افتا
افزونه WP HTML Mail  در وب‌سایت‌های مبتنی بر وردپرس دارای آسیب‌پذیری است که می‌تواند به فیشینگ منجر شود.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، افزونه‌ای به نام WP HTML Mail که در بیش از ۲۰ هزار سایت مبتنی بر WordPress نصب شده‌است، دارای یک ضعف امنیتی با درجه اهمیت بالا است و می‌تواند به تزریق کد و عملیات فریب سایبری موسوم به فیشینگ منجر شود.

WP HTML Mail افزونه‌ای است که به منظور طراحی ایمیل‌های سفارشی، اعلان‌ها و به طور کلی پیام‌های سفارشی به کار برده می‌شود که در بسترهای آنلاین برای مخاطبان موجود در فرم تماس (Contact Form) ارسال می‌شود، این افزونه با WooCommerce، Ninja Forms و BuddyPress نیز سازگار است. با وجود این که تعداد سایت‌هایی که از این افزونه استفاده می‌کنند، زیاد نیست ولی بسیاری از آن‌ها مخاطبان زیادی دارند که باعث می‌شود این ضعف امنیتی تعداد قابل‌توجهی از کاربران اینترنت را هدف قرار دهد.

بر اساس گزارشی از گروه تحقیقاتی Wordfence، مهاجم بدون احراز هویت می‌تواند از ضعف امنیتی به شناسه CVE-۲۰۲۲-۰۲۱۸ سوءاستفاده کرده و با تغییر الگوی ایمیل، داده‌های موردنظر خود را در آن قرار دهد.

مهاجم همچنین می‌تواند با بهره‌جویی از همین آسیب‌پذیری، ایمیل‌های فیشینگ را به کاربرانی که در سایت‌های آلوده شده ثبت‌نام کرده‌اند، ارسال کند. اشکال اصلی در ثبت دو مسیر از توابع REST-API است که برای به‌روزرسانی و بازیابی تنظیمات قالب ایمیل، استفاده می شود؛ این نقاط پایانی توابع API به‌اندازه کافی نسبت به دسترسی غیرمجاز محافظت نمی‌شوند، بنابراین حتی کاربران غیرمجاز نیز می‌توانند این توابع را فراخوانی و اجرا کنند.

مهاجم همچنین می‌تواند علاوه بر حملات فیشینگ، کد JavaScript مخرب را به قالب ایمیل تزریق کند. در این صورت هر زمانی که مدیر سایت به ویرایشگر HTML ایمیل دسترسی پیدا می‌کند، کد مخرب اجرا می‌شود. این موضوع به طور بالقوه می‌تواند افزودن حساب‌های Admin جدید، هدایت بازدیدکنندگان سایت به سایت‌های فیشینگ، تزریق درب‌های پشتی (Back-door) به فایل‌های قالب (Theme Files) و حتی تصاحب کامل سایت را برای مهاجم تسهیل کند.

محققان Wordfence آسیب‌پذیری موجود در این افزونه را در تاریخ ۲ دی ۱۴۰۰ کشف و اطلاع‌رسانی کردند. بنیاد وردپرس (Wordpress.org) در ۲۰ دی به آنها پاسخ داده و در تاریخ ۲۳ دی ۱۴۰۰ با انتشار نسخه ۳,۱، این ضعف امنیتی را ترمیم کرد.

به تمامی راهبران امنیتی و مدیران سایت‌های وردپرس توصیه می‌شود در اسرع وقت با مراجعه به نشانی‌های زیر، نرم‌افزار WordPress و افزونه WP HTML Mail را با آخرین نسخه آنها به‌روزرسانی کنند.
https://wordpress.org/news/۲۰۲۲/۰۱/wordpress-۵-۸-۳-security-release/
https://wordpress.org/plugins/wp-html-mail/
کد مطلب : 18793
https://aftana.ir/vdchxqnz.23n6wdftt2.html
ارسال نظر
نام شما
آدرس ايميل شما
کد امنيتی