الوصف : ثغرة أمنية في المواقع التي قامت بتنصيب اضافة WP Page Builder

مكان الاصابة : اضافة WP Page Builder

الاصدارات المصابة : اي إصدار قبل 1.2.4 .

الاجراءات الواجب اتخاذها : تم ترقيع الثغرة في الاصدارة 1.2.4 لذا يتوجب التحديث الى هذه الاصدارة او اي اصدارة احدث .

ان ( WP Page Builder ) هو مكون إضافي مثبت على أكثر من 10000 موقع .. وهو يسمح بالتحرير المرئي للمنشورات والصفحات بسهولة …

لسوء الحظ .. لم يتم حظر أي أدوار بشكل افتراضي بما في ذلك الأدوار على مستوى المشترك .. هذا يعني أن أي مستخدم قادر على تسجيل الدخول إلى موقع يقوم بتشغيل WP Page Builder ( بما في ذلك المشتركين والعملاء ) يمكنه الوصول إلى المحرر المرئي ببساطة عن طريق زيارة عنوان URL لمحرر المنشور لمقالة أو صفحة معينة وإجراء ونشر التغييرات على المنشورات والصفحات الحالية على الرغم من عدم وجود الأذونات المطلوبة عادةً للقيام بذلك …

سمحت الثغرة المكتشفة لأي مستخدم قام بتسجيل الدخول ( بما في ذلك المشتركين ) بالوصول إلى محرر أداة إنشاء الصفحات وإجراء تغييرات على المشاركات الموجودة على الموقع افتراضيا .. بالإضافة إلى ذلك يمكن لأي مستخدم قام بتسجيل الدخول إضافة اكواد JavaScript ضارة إلى أي منشور مما قد يؤدي إلى الاستيلاء على الموقع بشكل كامل …

كافة المواقع المدعومة من قبل فريق بلانت للبرمجة والتصميم لم تصب بهذه الثغرة لاننا نركز دائما على عدم استخدام اضافات بناء وتصميم الصفحات وننصح باستخدام ( المحرر التقليدي و محرر المكونات Gutenberg ) فقط …

 

تجدر الاشارة الى ان ما نسبته حوالي 47 % من المواقع التي يتم اختراقها يكون السبب هو الاستضافة الرخيصة وان ما نسبته حوالي 32 % يكون السبب هو الاضافات ( البلجنات ) المنصبة وان ما نسبته حوالي 12 % يكون بسبب استخدام كلمات مرور ضعيفة .. لذا يوصي فريق بلانت للبرمجة والتصميم :