سه افزونه محبوب تجارت الکترونیک برای نصب وردپرس (WP) که از دسامبر 2022 برای حملات تزریق SQL باز هستند، وصله شده، از کسب و کارها در برابر عوامل تهدید کننده ای که وب سایت های آنها را اصلاح یا حذف می کنند محافظت می کند.
سه افزونه تحت تأثیر، همانطور که توسط Joshua Martinelle محقق امنیتی Tenable کشف شد (در برگه جدید باز می شود) (از طریق Bleeping Computer (در برگه جدید باز می شود))، بود ‘عضویت های پولی طرفدار (در برگه جدید باز می شود)یک ابزار مدیریت اشتراک فعال در بیش از 100000 نصب،دانلود آسان دیجیتال (در برگه جدید باز می شود)یک ابزار تجارت الکترونیک فعال در بیش از 50000 نصب، ونشانگر نظرسنجی (در برگه جدید باز می شود)(ابزار تحقیقات بازار با بیش از 3000 نصب فعال)
تزریق SQL نقصهای امنیتی است که به مهاجمان اجازه میدهد تا دادهها را در فرمهای وبسایت یا URLها برای اصلاح پایگاههای داده وارد کنند. مهاجمان میتوانند از آسیبپذیریهایی استفاده کنند که به تزریق SQL اجازه میدهد تا اسکریپتهایی را که برای اصلاح وبسایتها طراحی شدهاند، تزریق کند، یا دسترسی غیرمجاز به پشتیبانهای آنها داشته باشد.
تزریق SQL وردپرس
در حالی که همه وبسایتها میتوانند در طول توسعه در برابر تزریق SQL آسیبپذیر باشند، نصبهای وردپرس، که بر روی یک پلتفرم محبوب و متمرکز که با بسیاری از افزونههای رایج موجود است، میزبانی میشوند، هدف محبوبی برای عوامل تهدید هستند که به دنبال اکسپلویت هستند.
تنها در ژانویه 2023، TechRadar Pro دارد گزارش شده است در سایر پلاگین های WP ارائه شده است چت زنده عملکردی که در طول سه سال برای اجرای کد جاوا اسکریپت که کاربران را به وب سایت های مخرب هدایت می کند و همچنین یک اکسپلویت مشابه دیگر هدف قرار دادن یک افزونه اضافه کردن قابلیت کارت هدیه به فروشگاه های آنلاین.
خوشبختانه، پس از افشای نقصها و انتشار اکسپلویتهای اثبات مفهوم (PoCs) توسط مارتینل در وردپرس در ۱۹ دسامبر ۲۰۲۲، توسعهدهندگان افزونهها به سرعت برای رفع نقصها اقدام کردند و در عرض چند هفته، رفعهای آن منتشر شد. ، یا حتی روزها
اصلاحی برای Survey Maker، به عنوان بخشی از نسخه 3.1.2 این افزونه، در 21 دسامبر منتشر شد. «Paid Memberships Pro» در تاریخ 27، با یک اصلاح در نسخه 2.9.8 و «Easy Digital Downloads» در 5 ژانویه 2023 به عنوان بخشی از نسخه 3.1.0.4 دنبال شد.
اگر قبلاً این کار را نکردهاند، به کاربران آسیبدیده توصیه میشود این افزونهها را به آخرین نسخهها بهروزرسانی کنند تا از حملات تزریق SQL در آینده قابل پیشبینی محافظت کنند.