مشکلات پلاگین وردپرس Metform Elementor

 

مشکلات پلاگین وردپرس Metform Elementor

مشکلات افزونه Metform Elementor Contact Form Builder بیش از 200000 وب سایت وردپرس را در معرض آسیب پذیری و حملات XSS قرار می دهد.

طبق اطلاعیه ها افزونه وردپرسی Metform Elementor دچار آسیب پذیری XSS است که میتواند مشکلاتی را برای سایت شما ایجاد کند.

در طراحی سایت وردپرسی اغلب اوقات شما نیاز به نصب افزونه ها دارید، از این رو باید برای داشتن بهترین عملکرد باید در نصب افزونه ها دقت داشته باشید.

ما در این مقاله از بلاگ سلکتک در رابطه آسیب پذیری این افزونه بیشتر توضیح خواهیم داد، پس با ما همراه باشید.

 

Scripting Cross Site Stored (XSS)

آسیب‌پذیری ذخیره‌شده XSS آسیب‌پذیری است که در آن یک وب‌سایت نمی‌تواند به درستی ورودی ها را ایمن کند.

این بدان معناست که به طور مثال از طریق فرم های داخل سایت، افراد بتوانند اسکریپت های مخرب به سرور و دیتابیس ارسال کنند.

اسکریپت های مخرب توسط مرورگر بازدیدکنندگان سایت دانلود و اجرا می‌شود و به هکر اجازه می‌دهد کوکی‌های کاربران را بدزدند یا مجوزهای و دسترسی ها وب‌سایت آن‌ها را به دست آورده و در نهایت سایت شما را هک میکنند.

یک مهاجم می‌تواند با گذشتن از سد XSS برای ارسال یک اسکریپت مخرب به یک کاربر یا مدیرسایت استفاده کند.

مرورگر کاربر نهایی نمیتواند متوجه این مشکل شود که این اسکریپت قابل اعتماد نیست و اسکریپت را اجرا می کند.

از آنجایی که مرورگر فکر می‌کند اسکریپت از یک منبع مطمئن آمده است، اسکریپت مخرب می‌تواند به کوکی‌ها، سشن ها، توکن ها، و به تمام دسترسی های ذخیره شده توسط مرورگر دست پیدا می‌کند.

 

علت مشکلات افزونه Metform Elementor چیست؟

 

انواع حملات XSS

انواع مختلفی از حملات XSS وجود دارد. آسیب پذیری که بر افزونه فرم تماس Elementor تأثیر می گذارد، XSS  ذخیره شده (stored XSS) نامیده می شود زیرا اسکریپت مخرب در خود سرورهای وب سایت آپلود و ذخیره می شود.

چیزی که این آسیب‌پذیری را خطرناک و نگران‌کننده می‌کند این است که یک نسخه تأیید نشده است، به این معنی که مهاجم برای شروع حمله به هیچ نوع مجوز وب‌سایتی نیاز ندارد.

به این آسیب‌پذیری خاص، امتیاز تهدید 7.2 در مقیاس 1-10 اختصاص داده شد که سطح 10 بالاترین سطح آسیب پذیری به حساب می‌آید.

 

علت مشکلات افزونه Metform Elementor چیست؟

آنچه باعث این آسیب‌پذیری شده است، مشکل کدگذاری و بررسی در افزونه است که نتوانسته است ورودی‌های ناخواسته را از طریق فرم تماس بررسی و مسدود کند.

باید هنگام دریافت و آپلود داده ها بررسی و موارد غیرمجاز پاکسازی شوند.

مشکل دوم، نقص پلاگین در ایمن سازی داده هایی بود که توسط افزونه خروجی می شود. به این حالت خروجی فرار می گویند.

 

فرایند ایمن سازی داده های ورودی در وردپرس

فرآیند ایمن سازی داده های خروجی با حذف داده های ناخواسته انجام میگیرد، مانند کدهای HTML نادرست یا تگ های اسکریپت که شامل کدهای مخرب است. این فرآیند به امنیت داده‌های شما قبل از ارائه آن برای کاربر نهایی کمک می‌کند.

عدم پاکسازی ورودی‌ها برای خروجی داده ها دو موضوع اصلی است که منجر به آسیب‌پذیری شده است.

افزونه Metform Elementor Contact Form Builder برای وردپرس در برابر اسکریپت های بین سایتی ذخیره شده از طریق قسمت های متنی روی فرم ها در نسخه های تا، و از جمله، 3.1.2 به دلیل پاکسازی ناکافی ورودی و خروج خروجی آسیب پذیر است.

این امکان را برای مهاجمان احراز هویت نشده فراهم می‌کند تا اسکریپت‌های وب دلخواه را در صفحاتی تزریق کنند که هر زمان که کاربر به صفحه تزریق شده، که صفحه ارسال‌ها است، دسترسی پیدا کند، اجرا می‌شوند.

 

افزونه Metform Elementor پچ شده است

 

افزونه Metform Elementor پچ شده است

ناشران Metform Elementor Contact Form Builder بروزرسانی هایی را در طول چندین نسخه برای رفع این آسیب پذیری منتشر کردند.

نسخه های زیر به روز شده و بدونه مشکل هستند:

  • نسخه 3.2.0
    بهبود یافته: امنیت و پاکسازی
  • نسخه 3.2.2
    رفع شد: مشکل مجوز امنیتی برای نقطه پایانی REST API
  • نسخه 3.2.3 (پچ شده در 03-06-2023)
    رفع شد: مشکل فرار در قسمت امضا
    رفع شد: ارسال فرم برای شرایط کاربران وارد نشده

ناشران وردپرس که از Metform Elementor Contact Form Builder استفاده می کنند باید افزونه خود را به نسخه 3.2.3 به روز کنند، نسخه ای که به طور کامل بروزرسانی و رفع باگ شده است.

 

خدمات افزایش ورودی گوگل

افزایش ورودی گوگل

دریافت کاربر واقعی از طریق گوگل

خدمات افزایش بازدید سایت

افزایش بازدید سایت

افزایش ترافیک سایت واقعی با آی پی ایران

خدمات ابزار سئو

ابزار سئو سایت

خدمات بررسی سئو سایت با ابزار سلکتک

خدمات افزایش بازدید رپورتاژ

افزایش بازدید رپورتاژ

دریافت ورودی واقعی از لینک های رپورتاژ

خدمات افزایش ای پی خارجی

بازدید مستقیم با IP خارج

ترافیک واقعی و هدفمند از سراسر جهان

خدمات افزایش بازدید از طریق شبکه اجتماعی

ترافیک از شبکه های اجتماعی

ترافیک رفرال سایت از طریق شبکه اجتماعی

خدمات افزایش ویواپارات

خدمات آپارات

افزایش لایک، کامنت و فالورآپارات

خدمات افزایش ویواینستاگرام

خدمات اینستاگرام

افزایش لایک، کامنت و فالوراینستاگرام

خدمات افزایش ویو یوتیوب

خدمات یوتیوب

افزایش لایک، کامنت و فالور یوتیوب

دسته بندی

سئو و بهینه سازی

سئو و بهینه سازی

دیجیتال مارکتینگ

دیجیتال مارکتینگ

تبلیغات گوگل

تبلیغات گوگل

متفرقه

متفرقه

مطالب مشابه

معرفی 5 ویژگی لینکدین برای افراد جویای کار

لینکدین پنج به‌روزرسانی را برای کمک به افراد جویای کار برای یافتن فرصت‌ها و برجسته شدن، از جمله Skills Match و Open-To-Work ارائه کرد.

2024-10-06 13:31:35

زمان مطالعه : 3 دقیقه

یوتیوب از تبلیغات موسیقی مبتنی بر هوش مصنوعی رونمایی کرد

از طریق شناسایی موزیک های ترند نسل زد در یوتیوب هنگام ساخت ویدیوهای Shorts می توانید ویدیوهای وایرال بسازید

2024-09-16 12:41:52

زمان مطالعه : 4 دقیقه

مجموعه های کسب درآمد از محتوای محتواسازان TikTok

با توجه به قابلیت جدید TikTok ، صاحبان کانال میتوانند مجموعه های ویدیویی را برای کاربرانی که هزینه اشتراک پرداخت می‌کنند نمایش دهند.

2024-08-21 11:05:05

زمان مطالعه : 4 دقیقه