به گزارش همشهری آنلاین و به نقل از گیزموچاینا، در یک افشاگری تکان دهنده، شرکت امنیتی مشهور « وردفنس » ( Wordfence ) اخیرا یک آسیبپذیری مهم « روز صفر » را در پلاگین (افزونه) پرکاربرد «سیستم ورود کاربر»، Ultimate Member ، در پلتفرم وبلاگنویسی « وردپرس »کشف کرده است. این آسیبپذیری به هکرها اجازه میدهد تا از حسابهای اعضا سوء استفاده کنند و قدرت مدیریتی بالایی به دست آورند که عملا به آنها اجازه احاطه بر وبسایتهای هدف را میدهد. تا کنون ۲۰۰.۰۰۰ وب سایت از این افزونه استفاده کرده اند
این نقص امنیتی که با نام CVE-۲۰۲۳-۳۴۶۰ شناسایی شده است، امتیاز ریسک ۹.۸ را به خود اختصاص داده است که نشان دهنده شدت آن است. از طریق این آسیبپذیری، مجرمان سایبری میتوانند اقدامات امنیتی داخلی پلاگین (افزونه) را دور بزنند و آنها را قادر میسازد تا دادههای پیکربندی wp_capabilities حسابهای کاربری را دستکاری کنند. با راهاندازی حسابهای خود بهعنوان سرپرست، هکرها میتوانند کنترل کامل وبسایتهای در معرض خطر را به عهده بگیرند.
توسعهدهنده پلاگین برای رسیدگی به این مشکل به سرعت پاسخ داده است. در ۲۶ ژوئن، آنها Ultimate Member نسخه ۲.۶.۳ را منتشر کردند که کاهش نسبی آسیبپذیری را ارائه میکرد. متعاقبا، در ۱ ژوئیه، نسخه ۲.۶.۷ منتشر شد که یک اصلاح کامل برای نقص امنیتی ارائه میدهد.
به طرز نگران کنندهای، مشخص شده است که بیش از ۲۰۰.۰۰۰ وب سایت متعلق به وردپرسپلاگین Ultimate Member را در خود جای داده اند. با توجه به تعداد بالای نصبها و تاخیر احتمالی در بهروزرسانی افزونه به دلیل انتشار ناکافی اطلاعات، این وبسایتها بهطور استثنایی در برابر سوءاستفاده توسط عوامل مخرب آسیبپذیر هستند.
به مدیران وب و صاحبان وب سایتها اکیدا توصیه می شود که با به روز رسانی «پلاگین»(افزونه)Ultimate Member خود به آخرین نسخه، ۲.۶.۷، فوراً اقدام کنند تا از وب سایت خود در برابر حملات احتمالی محافظت کنند. علاوه بر این، حفظ هوشیاری و نظارت بر هرگونه فعالیت مشکوک یا تلاش برای دسترسی غیرمجاز بسیار مهم است.
کارشناسان بر اهمیت رسیدگی سریع به آسیبپذیریهای نرمافزار و «بهروز ماندن» با آخرین دستورالعملهای امنیتی تأکید دارند. به روز رسانی منظمپلاگین ها و نرم افزارها یک عمل ضروری است که یکپارچگی وب سایت و محافظت در برابر تهدیدات سایبری در حال ظهور را تضمین میکند.