iran rules jazbe modir
snapphost mahak

Rednofozi

Hacking-Bugs آسیب‌پذیری در افزونه‌های مربوط به woocommerce در وردپرس

پست های پیشنهاد شده

پژوهشگران امنیتی ThreatPress آسیب‌پذیری‌هایی را در ده افزونه مختلف وردپرس کشف کرده‌اند که توسط یک شرکت برای وب‌سایت‌های فروشگاهی تحت پلتفرم woocommerce ساخته شده‌اند. این شرکت که Multidots نام دارد، افزونه‌هایی را ارائه کرده است که از سایت رسمی وردپرس (wordpress.org) قابل دریافت هستند. این افزونه‌ها قابلیت‌های مختلفی را برای کاربران وب‌سایت‌های فروشگاهی فراهم می‌کنند.
افزونه‌ها حدود ۲۰۰۰۰ نصب فعال دارند که شامل ۱۰۰۰۰ نصب برای افزونه Page Visit Counter، ۳۰۰۰ نصب برای افزونه WooCommerce Category Banner Management و ۲۰۰۰ نصب برای افزونه WooCommerce Checkout for Digital Goods می‌باشند.
این پلاگین‌ها در قبال تزریق اسکریپت از طریق وب‌گاه (XSS)، جعل درخواست میان وب‌گاهی (CSRF) و تزریق SQL آسیب‌پذیر هستند. مهاجمین می‌توانند از این آسیب‌پذیری‌ها استفاده کنند تا حملات deface، اجرای Shell از راه دور، قرار دادن keylogger و نصب کاوشگر ارز دیجیتالی را انجام دهند. همچنین مهاجمین می‌توانند به اطلاعات وب‌سایت شامل اطلاعات فردی و مالی کاربران دسترسی پیدا کنند.
آسیب‌پذیری به مهاجم احرازهویت نشده اجازه می‌دهد تا کد جاوااسکریپت مخرب را تزریق کند و اطلاعات کارت‌های اعتباری کاربران سایت و اطلاعات ورود مدیران سایت را برباید.
بدلیل عدم پاسخگویی شرکت سازنده این افزونه‌ها، وردپرس تصمیم به غیرفعال‌سازی افزونه‌های تحت تاثیر گرفته است.
۴ شناسه CVE به این آسیب‌پذیری‌ها تخصیص یافته است که شامل موارد CVE-۲۰۱۸-۱۱۵۷۹، CVE-۲۰۱۸-۱۱۵۸۰، CVE-۲۰۱۸-۱۱۶۳۳ و CVE-۲۰۱۸-۱۱۶۳۲ هستند. ThreatPress می‌گوید که انتظار می‌رود شناسه‌های بیشتری نیز تخصیص یابند.
جزئیات فنی و کد اثبات مفهومی (PoC) این آسیب‌پذیری‌ها نیز از طرف ThreatPress منتشر شده‌اند.
 

به اشتراک گذاری این ارسال


لینک به ارسال
به اشتراک گذاری در سایت های دیگر

telegram channel   jazbe modir

برای ارسال دیدگاه یک حساب کاربری ایجاد کنید یا وارد حساب خود شوید

برای اینکه بتوانید دیدگاهی ارسال کنید نیاز دارید که کاربر سایت شوید

ایجاد یک حساب کاربری

برای حساب کاربری جدید در سایت ما ثبت نام کنید. عضویت خیلی ساده است !

ثبت نام یک حساب کاربری جدید

ورود به حساب کاربری

دارای حساب کاربری هستید؟ از اینجا وارد شوید

ورود به حساب کاربری

  • مطالب مشابه

    • توسط  arman
      سلام دوستان امروز میخوایم باهم در مورد باگ های lfd و lfi صحلت کنیم 
      باگ lfd یعنی باگی که اجازه دانلود هر فایلی را بهتون میده و میتونید هر فایلی که دوست دارید رو دانلود کنید مثلا فایل config  سایت که خیلی  مهم است و یوزد و پسورد دیتابیس روی اون هستش
      که در سایت های جوملایی یا وردپرسی این باگ دیده میشه که به عنوان مثال پلاگین revslider در وردپرس این باگ رو داره و ما میتوانیم فایل wp-config.php را دان و سایت رو هک کنیم
      اگر دوست داشتید دورک گوگل و اکسپلویت را دانلود کنید به لینک زیر مراجعه نمایید.

      برای مشاهده ی این بخش لطفا وارد حساب کابری خود شوید یا اگر عضو نیستید از این قسمت عضو سایت شوید
      خوب برای باگ lfi مثلا مثل باگ lfd عمل میکنه فقط فرقش اینه که ما با باگ lfd میتونیم یک فایل را دانلود کنیم ولی در این باگ ما میتونیم کدهای درون فایل مورد نظر را در خود وبسایت ببینیم
      چند سایت نمون برای این باگ براتون میزارم
      برای مشاهده ی این بخش لطفا وارد حساب کابری خود شوید یا اگر عضو نیستید از این قسمت عضو سایت شوید
      خب برای این که ببینیم این باگ رو داره هر چی جلوی page هست رو پاک میکنیم یعنی این شکلی 
      برای مشاهده ی این بخش لطفا وارد حساب کابری خود شوید یا اگر عضو نیستید از این قسمت عضو سایت شوید
      خب حالا ما میخوایم به فایل etc/passwd دسترسی پیدا کنیم پس این کار را  انجام میدیم 
      برای مشاهده ی این بخش لطفا وارد حساب کابری خود شوید یا اگر عضو نیستید از این قسمت عضو سایت شوید
      خب بعد از اینکار فایل etc/passwd رو به شما نشون میده و شما میتونید این سایت رو هک کنید
      خب آموزش به پایان رسید امیدوارم خوب بوده باشه خدا نگهدار.
    • توسط  Moeein Seven
      دوره آموزش پلاگین نویسی وردپرس از فرانش 
      منبع : faranesh.com
      قیمت : ۳۵،۰۰۰ تومان

      برای مشاهده ی این بخش لطفا وارد حساب کابری خود شوید یا اگر عضو نیستید از این قسمت عضو سایت شوید
       
    • توسط  Rednofozi
      باگ XXE چیست ؟
      سایت های بسیاری در جهان هک میشوند و هر سایتی از روش ها و باگ های مختلفی مورد نفوذ قرار میگیرند
      اما در این اموزش به باگ XXE رایج در وب اپلیکیشن ها میپردازیم این باگ مخفف XML External Entity میباشد
      همانطور که از نامش پیداست مربوط به XML میشود در واقع امکان اجرای کد های xml را به هکر میدهد
       
      سطح دسترسی
      در باگ XXE سطح دسترسی میتواند برای هکر بسیار بالا باشد به دلیل ان که امکان نوشتن و خواندن کد XML دارند
      میتواند بعضی فایل های درون سرور را با استفاده از این باگ بخوانند و اطلاعات حساسی را از درون سرور بردارند
      یا حتی در مواردی هم میتوانند در سرور دستور اجرا کنند
      که به همین دلیل میتوان گفت xxe یکی از باگ های بسیار خطرناک و مهم  است
      در بهترین حالت ممکن هکر درون فایل xml یک دیفیس قرار میدهد و سایت را دیفیس میکند
      روش های دیگری هم در شرایط مختلف میتواند وجود داشته باشد که ما به چند مورد از ان ها اشاره کرده ایم
       
      اموزش باگ یابی XXE
      روش های زیادی برای جستجو کردن این نوع از باگ ها وجود دارد مانند استفاده از ابزار ها و غیره
      اسکنر ها : بعضی از اسکنر های امنیتی برای امنیت بیشتر در وبسایت ها باگ xxe را مورد برسی در هنگام اسکن قرار میدهند
      هر مقدار اسکنر ها باگ ها بیشتری را شناسایی کنند و حساسیت ان ها بلاتر باشد اسکنر قدرتمند تری میشوند
      به طور مثال میتوانید اموزش نسوس را مشاهده کنید
      که یکی از اسکنر های امنیتی بسیار عالی میباشد و قابلیت اسکن باگ xxe را هم دارد
      اسکنر های دیگری هم هستند مانند اکانتیکس که میتوانید از ان ها هم استفاده کنید آموزش و دانلود اکانتیکس را مشاهده کنید
      جستجو دستی : در جستجو دستی هکر باگ را باید با تست های مکرر پیدا کند که زمان زیادی میگیرد اما دقیق تر انجام میشود
       
      نتیجه گیری اموزش باگ XXE
      باگ XXE یک باگ حساس امنیتی در وب اپلیکیشن ها است
      که از طریق ورودی هایی که امکان ارسال xml را میدهند بوجود می اید
      و این امکان را دارد تا کاربر کد های ان را بخواند و تغیر دهد
      برای پیدا کردن این باگ میتوانید به صورت دستیو یا با اسکنر ها اقدام کنید
    • توسط  Moeein Seven
      قالب وردپرس فروشگاهی genius 
      Pw: @p0ix76zgx9xgs6zk
      سازنده : 
      برای مشاهده ی این بخش لطفا وارد حساب کابری خود شوید یا اگر عضو نیستید از این قسمت عضو سایت شوید

      برای مشاهده ی این بخش لطفا وارد حساب کابری خود شوید یا اگر عضو نیستید از این قسمت عضو سایت شوید
    • توسط  Moeein Seven
      قالب وردپرس چندمنظوره BeTheme
      سازنده :  
      برای مشاهده ی این بخش لطفا وارد حساب کابری خود شوید یا اگر عضو نیستید از این قسمت عضو سایت شوید
      قالبbe:

      برای مشاهده ی این بخش لطفا وارد حساب کابری خود شوید یا اگر عضو نیستید از این قسمت عضو سایت شوید
       
  • کاربران آنلاین در این صفحه   0 کاربر

    هیچ کاربر عضوی،در حال مشاهده این صفحه نیست.