افزونه مدیریت کاربران

بروز رسانی های افزونه مدیریت کاربران و اقدامات امنیتی توصیه شده
WPScan تایید کرده است که مشکل آسیب پذیری در Ultimate Member نسخه 2.6.7 حل شده است. اطلاعات بیشتر در مورد این تأیید را می‌توانید در https://blog.wpscan.com/hacking-campaign-actively-exploiting-ultimate-member-plugin/ بیابید .

به کاربران عضو نهایی ما،

این سند توسط تیم Ultimate Member نوشته شده است تا اطلاعات بیشتری از آسیب پذیری های امنیتی که اخیراً فاش شده است را در اختیار کاربران خود قرار دهد.

در ابتدا، می‌خواهیم بابت این آسیب‌پذیری‌ها در کد افزونه ما و هر وب‌سایتی که تحت تأثیر قرار گرفته و نگرانی‌هایی که ممکن است در اثر یادگیری آسیب‌پذیری‌ها ایجاد کرده باشد، متاسفیم.

به محض اینکه متوجه شدیم که آسیب‌پذیری‌های امنیتی در افزونه کشف شده است، بلافاصله شروع به به‌روزرسانی کد برای اصلاح آسیب‌پذیری‌ها کردیم.

ما از زمان افشای آسیب‌پذیری‌ها، چندین به‌روزرسانی منتشر کرده‌ایم، و می‌خواهیم از تیم WPScan برای کمک و راهنمایی در این زمینه پس از تماس برای افشای آسیب‌پذیری‌ها تشکر بزرگی داشته باشیم.

در زیر مروری بر رویدادهای پیرامون این آسیب‌پذیری و همچنین تأکید بر اقدامات امنیتی اضافی که در حال اجرای آن هستیم، ارائه شده است.

بررسی اجمالی

ما در 26 ژوئن 2023 ارتباطی در مورد یک “آسیب پذیری افزایش امتیاز” در افزونه دریافت کردیم. ما بلافاصله شروع به بررسی و انجام برخی آزمایشات داخلی در حالی که منتظر جزئیات بیشتر هستیم.

پس از دریافت جزئیات بیشتر در مورد توانایی مهاجمان برای استفاده از کلید ‘wp_capabiliti\es’، نسخه 2.6.4 را منتشر کردیم که شامل یک راه حل برای آن بود، و همچنین تابع extract() را از سمت مدیریت حذف کردیم. افزونه Ultimate Member.

پس از انتشار، تیم WPScan با ما تماس گرفت تا به ما اطلاع دهد که مهاجمان همچنان می‌توانند از کلید wp_caPabilitiEs استفاده کنند (متاکلید در پایگاه داده WP به حروف بزرگ و کوچک حساس نیست). ما نسخه 2.6.5 را برای رفع این مشکل منتشر کردیم و همچنین تابع extract() را از قسمت جلویی افزونه حذف کردیم.

پس از انتشار این نسخه، ارتباط بیشتر با تیم WPScan و ایجاد این بلیط اصلی تراک https://core.trac.wordpress.org/ticket/58679#ticket تصمیم گرفتیم تا کنترل کننده های ارسال را در افزونه تغییر دهیم.

مارک مونپاس (مدیر) می گوید:

برای واضح تر بودن، مطمئن نیستم که بتوان آن را 100% بدون ممنوع کردن کاراکترهای UTF-8، یا بهتر، پیاده سازی یک الگوی روتین اعتبار سنجی لیست مجاز برای محدود کردن فیلدهای فرم فقط به مجموعه ای از مشروع شناخته شده، به جای مخرب احتمالی، رفع کرد. متاس

مشکل این است که مجموعه “utf8mb4_unicode_ci” که وردپرس استفاده می‌کند، دارای دسته‌ای از خصلت‌های معادل کاراکترهای دیگر است، مانند مواردی که قبلا ارسال کردم. به عنوان مثال، یکی دیگر از مواردی که می‌تواند آخرین اصلاح شما را دور بزند، زیرخط‌های آزاد ایستاده یونیکد هستند، که رمزگذاری آن‌ها به جای اینکه برای هر کاراکتر موجود یکی داشته باشد، از حرفی پیروی می‌کند که باید زیرخط شود:

user_login-29=hackuser19&user_password-29=P@ssw0rd%21&wP_capa%cc%b2bilities-29[administrator]=1&confirm_user_password-29=P@ssw0rd%21&first_name-29=Igor_9&wp1_0=29_00_00_00_00_00000000001 &_wp_http_referer=%2fregister%2f

صدها مورد جانبی دیگر مانند این وجود دارد، و تا آنجا که من می دانم، وردپرس عملکردی برای “عادی سازی” همه آنها به گونه ای ندارد که عوارض جانبی دیگری ایجاد نکند.
نسخه 2.6.6 منتشر شد که شامل رفع فوری هایی بود که پس از حذف عملکرد استخراج شناسایی شده بودند.

نسخه 2.6.7 در تاریخ 1 ژوئیه برای اصلاح آسیب پذیری امنیتی منتشر شده است. 2.6.7 فهرست سفید را برای کلیدهای متا که در هنگام ارسال فرم ها ذخیره می کنیم، معرفی می کند. 2.6.7 همچنین داده های تنظیمات فرم و داده های ارسالی را جدا می کند و آنها را در 2 متغیر مختلف اجرا می کند

اصلاحات شخص ثالث

انتشار 2.6.7 شامل تغییرات قابل توجهی در نحوه رسیدگی به فرم های ارسالی است. این ممکن است باعث شود که تغییرات شخص ثالث کار نکنند. برای توسعه دهندگان شخص ثالث، لطفاً سفارشی سازی های خود را برای پشتیبانی از تغییرات جدید در آخرین نسخه به روز کنید. اگر سوالی دارید یا می خواهید مشکلی را گزارش کنید، لطفاً یک موضوع در انجمن ایجاد کنید یا از طریق وب سایت ما با ما تماس بگیرید. می توانید تغییرات اخیر با قلاب های Ultimate Member را در این سایت بیابید .

اقدامات اضافی برای وب سایت و کاربران شما

به عنوان یک اقدام امنیتی اضافی، به زودی یک ویژگی را در افزونه منتشر خواهیم کرد تا مدیر وب‌سایت را قادر به بازنشانی رمز عبور برای همه کاربران کند. دلیل این امر این است که سایتی که از افزونه ما استفاده می کند ممکن است هک شده باشد یا بدافزاری به آن تزریق شده باشد که ورودی های ورود به سیستم را شناسایی می کند، زیرا این مشکل آسیب پذیری مستعد این حملات است، توصیه می کنیم پس از به روز رسانی با یک وصله امنیتی رمزهای عبور را بازنشانی کنید. این برای اطمینان از بهترین محافظت از رمزهای عبور کاربر وب سایت شما است.

در عین حال، در حالی که آزمایش این ویژگی جدید را نهایی می کنیم، توصیه می کنیم برای افزودن اقدامات امنیتی اضافی به سایت خود، مراحل زیر را دنبال کنید.

بررسی و حذف حساب‌های مدیر ناشناخته – آخرین مشکل آسیب‌پذیری امنیتی به مهاجمان اجازه می‌دهد تا قبل از نسخه ۲.۶.۷، یک حساب سرپرست را به سایت وردپرس با افزونه Ultimate Member تزریق کنند. توصیه می کنیم همه مدیران سایت را بررسی کرده و آن حساب های ناشناخته را حذف کنید.
بازنشانی همه گذرواژه‌های کاربر (از جمله رمز عبور حساب کاربری خود) – توصیه می‌کنیم همه گذرواژه‌های کاربر را بازنشانی کنید و از کاربران بخواهید رمز عبور جدیدی را از طریق مکانیسم بازنشانی رمز عبور تعیین کنند. به زودی قابلیتی را در افزونه برای فعال کردن آن معرفی خواهیم کرد.
نصب و افزونه‌های امنیتی فعال – توصیه می‌کنیم پلاگین‌های امنیتی مانند WPScan یا WordFence را نصب کنید تا به سایت شما کمک کند فعالیت‌های مشکوک را شناسایی کند. همچنین می توانید این افزونه را برای کمک به محافظت در برابر تزریق XSS امتحان کنید.
حفاظت SSL – مطمئن شوید که سایت شما بر روی گواهینامه های SSL اجرا می شود. گواهینامه های SSL از داده های حساس ارسال شده از وب سایت شما و به آن محافظت می کند. می توانید ازارائه دهنده هاست خود بخواهید که به شما در راه اندازی SSL روی سرور شما کمک کند.

آموزش نصب گواهی اس اس ال رایگان


پشتیبان‌گیری از فایل‌های سایت و پایگاه داده روزانه – این یکی از بهترین روش‌ها برای ایجاد پشتیبان‌گیری روزانه از سایت شماست، در صورتی که اتفاقی بیفتد، می‌توانید سایت خود را به نسخه پایدار بازیابی کنید.
برای اعضا/مشتریان سایت خود در مورد این حادثه مشاوره بفرستید – توصیه می کنیم مشتریان یا اعضای سایت خود را در مورد این حادثه مطلع کنید و دستورالعمل هایی را در مورد نحوه تنظیم مجدد رمز عبور آنها در سایت خود ارائه دهید. بهتر است از آنها بخواهید از رمز عبور دیگری استفاده کنند – نه همان رمز عبور قدیمی خود. کلاه بعدی

چیست ؟
ما منتظر بازخورد WPScan در مورد نسخه 2.6.7 هستیم و همچنان به ارزیابی افزونه خود برای سایر آسیب پذیری های امنیتی بالقوه ادامه می دهیم. ما همچنین قصد داریم تمام برنامه های افزودنی خود را برای افزایش اقدامات امنیتی ارزیابی کنیم.
متشکرم

مایلیم مجدداً به دلیل استرس و ناراحتی که ممکن است برای شما ایجاد کرده است عذرخواهی کنیم و از همه برای صبر و درک شما در حالی که در حال رفع این مشکلات هستیم تشکر می کنیم. ما بسیار خوش شانس هستیم که چنین پایگاه کاربر وفاداری از کاربران با بیش از 200000 وب سایت از افزونه ما داریم و اطمینان از ایمن بودن و استفاده از افزونه برای ما بسیار مهم است. ما چیزهای زیادی از این افشای آسیب‌پذیری امنیتی اخیر آموخته‌ایم و سخت تلاش خواهیم کرد تا امنیت افزونه خود را در حال پیشرفت تضمین کنیم.

آخرین به روز رسانی در 10 جولای 2023
جستجو کردن
جستجو را تغییر دهید
دسته بندی ها
داشبورد
منسوخ
پست الکترونیک
عمومی
چند سایتی
پلاگین های شخص ثالث
به روز رسانی ها
نصب و راه اندازی
کدهای کوتاه
تنظیمات
فرم ها و فیلدها
نقش های کاربر
فهرست راهنمای اعضا
محدودیت محتوا
© Ultimate Member Group Ltd 2023. ساخته شده توسط Help Scout

منبع:

https://docs.ultimatemember.com/article/1866-security-incident-update-and-recommended-actions

دیدگاه‌ خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *