آسیب پذیری پلاگین ACF در وردپرس مشکل ساز شد

آسیب پذیری پلاگین ACF در وردپرس

آسیب پذیری پلاگین ACF در وردپرس مشکل ساز شد و این مشکل یک باگ از نوع  بررسی نکردن اجازه دسترسی شناسایی شد که باعث بروز مشکلاتی در سایت وردپرسی می شود

افزونه وردپرسی Advanced Custom Fields دچار یک باگ Missing Authorization  شده است که به مهاجم اجازه می دهد بدونه مجوز دسترسی اطلاعات پایگاه داده را مشاهده کند.

این نوع آسیب‌پذیری به مهاجم اجازه می‌دهد تا در سطوحی به سایت دسترسی پیدا کند که معمولاً محدود به کاربران دارای امتیازات مدیریت است.

در این مقاله قصد داریم در رابطه با باگ این افزونه وردپرسی توضیح دهیم.

افزونه وردپرس  Advanced Custom Fields (ACF)

افزونه ACF WordPress یک ابزار توسعه برای طراح سایت وردپرسی محبوب است که به توسعه دهندگان اجازه می دهد تا فیلدهای سفارشی را به صفحه ویرایش اضافه کنند و همچنین بخش ها را برای کاربران، پست ها، رسانه ها و سایر قسمت ها سفارشی و اختصاصی کنند.

ابزارACF  به توسعه دهندگان این امکان را می دهد که تم های وردپرس را از راه های مختلف گسترش دهند، و همین ویژگی جذاب، نشان دهنده دلیل میلیون ها نصب این پلاگین است.

آسیب پذیری مجوز دسترسی از دست رفته (Missing Authorization)

آسیب‌پذیری مجوز دسترسی از دست رفته زمانی اتفاق می‌افتد که نرم‌افزاری مانند افزونه وردپرس مجوز کاربر را هنگام دسترسی به اطلاعات خاص بررسی نمی‌کند.

این نوع آسیب‌پذیری می‌تواند منجر به افشای اطلاعات حساس و حملات به سایت ها از طریب اجرای کدهای مخرب از راه دور شود.

این نوع حملات عواقب بدی برای سایت در پی دارد و گاهی ممکن است تمام تلاش شما برای سئو و بهیه سازی یک سایت را هدر دهد.

حمله به سایت از طریق عدم بررسی دسترسی ها

هنگامی که سطح دسترسی یک کاربر بررسی نشود، آن شخص می‌تواند به قسمت های محتلف سایت بدونه داشتن مجوز دسترسی، نفوذ کرده و ممکن است سوء استفاده کنند.

این بدان معناست که کاربرانی که حداقل دارای سطح احراز هویت ویرایشگر، نویسنده دسترسی های پایین در سایت وردپرسی دارند، می توانند برای مشاهده اطلاعات پایگاه داده به امتیاز سطح مدیریت دسترسی داشته باشند.

طبق گزارشات این مشکل در افزونه Advanced Custom Fields بوجود آمده است و کاربران این پلاگین می‌توانند اطلاعات موجود در پایگاه داده را بدون داشتن اجازه دسترسی مشاهده کنند.

تغییرات ACF

طبق گزارشاتChangelog  که تمام تغییرات هر نسخه از یک نرم افزار را به تفصیل نشان می دهد برای پلاگین Advanced Custom Fields موارد زیر را ذکر کرد.

تشخیص اینکه کدام یک از تغییرات تفصیلی در تغییرات لاگ مربوط به رفع آسیب‌پذیری است، دشوار است، زیرا تغییرات ACF به صراحت در رابطه با تغییرات صحبت نمی‌کند.

تغییرات اعلام شده برای افزونه ACF WordPress به شرح زیر است و بدرستی مشخص نیست که مشکل امنیتی مورد توجه قرار گرفته است یا خیر!

تغییرات ACF برای ولیدیشن دسترسی ها

با توجه به این بروزرسانی که در رابطه با ولیدیشن دسترسی هست، در هنگام اتصال، دسترسی را بررسی می‌کند.همچنین فرم ها از طریق درخواست های POST   ارسال می‌شوند.

آپدیت افزونه ACF به ورژن 5.12.1

قسمت های get_field()  یا the_field() در گزینه‌های وردپرس غیر ACF نیز از بین خواهند رفت. با این حال، استفاده از این توابع برای بازیابی هر پست، کاربر یا متای اصطلاح، بدون توجه به اینکه متا یک فیلد ACF باشد، مقدار را برمی‌گرداند.

در ACF 5.12.1، این محدودیت‌ها به درستی در هنگام استفاده از کلید فیلد برای دسترسی به مقدار گزینه، مانند استفاده از نام فیلد، اعمال می‌شوند.
 

مشکلاتAdvanced Custom Fields Patch  

آسیب پذیری ACF همه نسخه های قبل از Advanced Custom Fields 5.12.1 و Advanced Custom Fields Pro 5.12.1 را تحت تأثیر قرار داده است.

پس از ایجاد مشکل برای  Advanced Custom Fields، مشخص شد که نسخه های وابسته به آن نیز دچار مشکل شده اند.

برای رفع خطای پلاگین ACF باید سریعا آن را به نسخه ACF 5.12.1 به روز رسانی کنید.