تركيز- قام ملحق الووردبريس المضاد للبريد العشوائي المثبت في أكثر من 60 ألف موقع، بتصحيح ثغرة أمنية PHP Object، التي نشأت نتيجةً للتطهير غير المناسب للمدخلات. مما سمح لاحقًا بإدخال المستخدم المشفر باستخدام base64.
إدخال عنصر PHP غير مصدق
تم اكتشاف ثغرة أمنية في ملحق Stop Spammers Security الشهير | حظر مستخدمي البريد العشوائي والتعليقات ونماذج الووردبريس المساعد.
الغرض من الملحق هو إيقاف الرسائل غير المرغوب فيها في التعليقات والنماذج وتسجيلات التسجيل. يمكنه إيقاف روبوتات البريد العشوائي ولديه القدرة على إدخال عناوين IP لحظرها.
حيث إنها ممارسة مطلوبة لأي ملحق الووردبريس أو نموذج يقبل إدخال المستخدم للسماح فقط بمدخلات محددة، مثل: النص والصور وعناوين البريد الإلكتروني، مهما كان الإدخال المتوقع.
يجب تصفية المدخلات غير المتوقعة. تسمى عملية التصفية التي تمنع المدخلات غير المرغوب فيها بالتطهير. على سبيل المثال. يجب أن يحتوي نموذج الاتصال على وظيفة تقوم بفحص ما يتم تقديمه وحظر (تطهير) أي شيء ليس نصًا.
سمحت الثغرة المكتشفة في الملحق مكافحة البريد العشوائي بإدخال مشفر (base64)، والذي يمكن أن يؤدي بعد ذلك إلى نوع من الثغرات الأمنية تسمى ثغرة PHP Object injection.
ويتكون وصف الثغرة الأمنية المنشور على موقع WPScan، المشكلة على النحو التالي:
«يمرر الملحق إدخال المستخدم المشفر base64 إلى وظيفة PHP غير المشفرة () عندما يتم استخدام CAPTCHA كتحدي ثان. مما قد يؤدي إلى حقن كائن PHP إذا كان الملحق المثبت على المدونة يحتوي على سلسلة أدوات مناسبة»…
“يقوم الملحق بإدخال المستخدم المشفر باستخدام base64 إلى وظيفة PHP غير المتسلسلة () عند استخدام CAPTCHA كتحدي ثانٍ . مما قد يؤدي إلى إدخال عنصر PHP إذا كان الملحق المثبت على المدونة يحتوي على سلسلة أدوات مناسبة …”
تصنيف الثغرة الأمنية
يصف مشروع أمان تطبيق الويب المفتوح غير الربحي (OWASP) التأثير المحتمل لهذه الأنواع من الثغرات الأمنية بأنه خطير. وقد يكون أو لا يكون هو الحال الخاص بهذه الثغرة الأمنية.
الوصف في OWASP:
“لا يمكن المبالغة في تأثير عيوب إلغاء التسلسل. يمكن أن تؤدي هذه العيوب إلى هجمات تنفيذ التعليمات البرمجية عن بُعد ، وهي واحدة من أخطر الهجمات الممكنة. يعتمد تأثير الأعمال على احتياجات الحماية للتطبيق والبيانات”.
لكن OWASP لاحظ أيضًا أن استغلال هذا النوع من الضعف، يميل إلى أن يكون صعبًا:
“يعد استغلال إلغاء التسلسل أمرًا صعبًا إلى حد ما. حيث نادرًا ما تعمل الثغرات الجاهزة بدون تغييرات أو تعديلات على رمز الاستغلال الأساسي”.
تم إصلاح الثغرة الأمنية في ملحق Stop Spammers Security الووردبريس في الإصدار 2022.6
يشير التغيير الأمني الرسمي لـ Stop Spammers Security (وصف مع تواريخ التحديثات المختلفة) إلى الإصلاح باعتباره تحسينًا للأمان.
يجب على مستخدمي ملحق Stop Spam Security التفكير في التحديث إلى أحدث إصدار من أجل منع المتسلل من استغلال الملحق.
