مش هنقدر نوضح لكم حجم المشكلة إلا أنها مصيبة!!

ظهرت ثغرة فادحة في تعليقات الووردبريس

وإللي أعلن عنها Klikki

إتحددت خطورة الثغرة بانها : Critical Zero Day vulnerability

من النوع : Cross-Site Scripting (XSS)

بإختصار الثغرة في التعليقات .. و اللي بكل سهولة بتمنح المهاجم–Attacker إنه يضيف javascript كود في التعليق علي اي موضوع

و بعد مراجعة اﻻدمين للتعليق..بيقدر منها إنه يفتح باب خلفي للإختراق او ما يسمى Backdoor

و من هنا بيقدر المهاجم إنه يوصل للتحكم في حسابات مديرين الموقع ويتحكم في كلمات المرور بتاعتهم وبيقدر طبعا يمسح حسابتهم او يضيف حسابات مديرين جديدة دون ان يشعروا.

 

ده فيديو بيوضح فيه مكتشف الثغرة إزاي بيستغلها :

 

المشكلة الأكبر إن مكتشف الثغرة أعلن إنه حاول يتواصل مع فريق الحماية للووردبريس علشان يبلغهم بالثغرة لكنهم رفضوا كل طرق التواصل معاه من بإنهم ماردوش علي اي من طريقة تواصل إستخدمها.

إلا انه بعتلهم إيميل رسمي بالثغرة علشان يصلحوها ولحد إنهارده ماحدش إستجاب او رد عليه من وقت اكتشافه للثغرة في 20 نوفمبر 2014

الثغرة شغالة علي إصدارات الووردبريس : 4.2, 4.1.2, 4.1.1, 3.9.3

مع إصدار قواعد البيانات 5.1.53 و 5.5.41

لحد دلوقتى wordpress.org ما اتكلمش عن الثغرة ومافيش اى ترقيع او تحديث رسمي للمشكلة دي

 

إحنا في المستضيفون العرب خدنا احتياطاتنا من لحظة معرفتنا بالثغرة..و قام المطوريين بالمستضيفون العرب بعمل حل مؤقت و ترقيع للثغرة وتطبيقها علي جميع المواقع المدارة من خلالنا. 🙂

وبالتأكيد في حالة إن الووردبريس اصدرت ترقيع رسمي يفضل الرجوع للترقيع الرسمي.

 

تحديث

أصدرت الووردبريس حالا تحديث جديد برقم 4.2.1 بعد صدور النسخة 4.2 قبل 3 ايام تقريبا من إعلان الثغرة

و في التحديث اعترفوا بوجود الثغرة المؤثرة بشكل مباشر علي البرمجة وقالوا إنهم صلحوا المشكلة

تقدروا تعملوا تحديث لسنخة الووردبريس في مواقعكم بسرعة 🙂