یک پلاگین وردپرس که دارای آسیبپذیری بوده است، اطلاعات 2 میلیون سایت را در اختیار هکرها قرار داده است.
به گزارش گرداب، محققان موسسه Assetnote متوجه شدهاند که یک کد آسیبپذیر مشترک در بین سایتهای مختلف در پلاگین وردپرس با عنوان فیلدهای شخصی پیشرفته (Advanced Custom Fields) قرار دارد. این آسیبپذیری امتیاز 6.1 را دریافت کرده است که عدد قابل توجهی است.
قابلیت ساخت فیلدهای این پلاگین به کاربران اجازه میدهد که به سرعت و راحت فیلدهایی در وردپرس ایجاد کنند که صفحات نمایش را تنها با چند کلیک ویرایش کند.
یک هکر اگر یک کاربر لاگین کرده در وردپرس را هدف قرار دهد، میتواند از این آسیبپذیری برای به دست آوردن فرمان اجرایی وردپرس استفاده کند.
محققان معتقدند این مسئله فارغ از این که کاربر از کدام پورتهای سیپنل استفاده کند، قابلیت نفوذ دارد. هکر میتواند از این مسئله برای هایجک کردن ورود کاربر استفاده کند و کارهای مجرمانه انجام دهد، مثلا فرمانهای اجرایی نامناسبی به سیپنل بدهد.
منبع: securityaffairs
