thumbnail
وجود ضعف امنیتی خطرناک در وردپرس

نرم افزار وردپرس یک سیستم مدیریت وب سایت یا همان CMS بسیار پرطرفدار می باشد که تقریبا ۲۹ درصد از وب سایت های جهان و مشتریان شرکت های ارائه کننده خدمات هاستینگ از آن استفاده می نمایند.
تیم وردپرس تا امروز بیست و سوم بهمن ماه نود و شش قادر به وصله نمودن آسیب‌پذیری CVE2018-6389 نبوده و تمامی نسخه های این CMS محبوب حتی آخرین نسخه‌ی پایدار آن (نسخه‌ی ۴٫۹٫۲) در معرض حمله لغو سرویس (Dos) می باشد.
این آسیب پذیری که در فایل load-scripts.php قرار دارد که توسط محقق امنیتی، آقای Barak Tawily کشف و گزارش شده است.
در واقع فایل load-scripts.php تنها یک وظیفه دارد و آن هم کمک به مدیران وب سایت برای افزایش بهره وری و سرعت بارگذاری سایت خود با ترکیب نمودن چند فایل Javascripts با یکدیگر در سمت سرور می باشد. اما متاسفانه طراحان وردپرس برای لود شدن فایل load-scripts.php، هیچ متد احراز هویتی در نظر نگرفته اند، بنابراین هر کس می تواند با فراخوانی این فایل از اینترنت، دستور ترکیب و لود چندین فایل جاوا اسکریپت را به سرور یا هاست شما ارسال نماید.