15 اضافة مصابة بثغرات امنية خطيرة في الووردبريس 2011


مصنفة في قسم  : مقالات
كتبت بتاريخ  : 18 أبريل 2011
عدد المشاهدات  : 
عدد التعليقات  : 11 تعليق 

15 اضافة مصابة بثغرات امنية خطيرة في الووردبريس 2011

السلام عليكم ورحمة الله وبركاته

لفت انتباهي امس احد المواقع الذي تم اخترقه وبطبيعة الحال يستعمل الووردبريس وليس فقط ذالك الموقع وانما مواقع كتيرة تم اختراقها هذه الايام فقررت ان اقوم بزيارة احد المواقع الذي يعرض اخر التغرات وهو exploit-db فقمت ببحث بسيط عن ثغرات الووردبريس فوجدت ترسانة في الحقيقة من الثغرات اي كل شهر تنزل تغرة جديدة خصوصا ان شهر فبراير تم اكتشاف 10 تغرات

ترقية الاضافات امر مهم ويجب عليك دائما ترقية الاضافات كي لا يقع الفأس في الرأس وتصبح مدونتك ممرا لمخترقين او فار تجارب 

وهذه اسماء التغرات المتنوعة يعني اغلب واخطر الثغرات في هذه القائمة :

LFI Vulnerability
Remote and Local Code Execution Vulnerability
Multiple Vulnerabilities
Remote Code Exec Exploit
SQL Injection Vulnerability
Stored XSS Vulnerability
Remote File Upload Vulnerability

يعني القائمة اشتملت على اقوى الثغرات في تطبيقات الويب ,الان ننتقل للاضافت لنرى كل اضافة والثغرة المصابة بها, نبداء باخر اضافة تم اكتشاف تغرة بها

WP Custom Pages

هذه الاضافة مصابة بتغرة LFI Vulnerability اي يمكن قرائة اي ملف بواسطة هذه الثغرة

الاصدار المصاب 0.5.0.1

صفحة الاضافة على الووردبريس من هنا

الثغرة على موقع exploit-db من هنا

BackWPup

الاضافة مصابة بتغرة Remote and Local Code Execution Vulnerability اي تمكن المخترق من تطبيق اوامر داخل السيرفر كقراءة ملفات او تطبيق امر معين لنظام عن بعد و من الداخل

الاصدار المصاب 1.6.1

صفحة الاضافة على الووردبريس من هنا

الثغرة على موقع exploit-db من هنا

GRAND Flash Album Gallery

هذه الاضافة تحتوي على تغرتين وهي LFI و SQL injection اي تغرة تمكن من قراءة ملفات حساسة مثل wp-config.php وثغرة الثانية تمكن من حقن قاعدة البيانات

الاصدار المصاب 0.55

صفحة الاضافة على الووردبريس من هنا

الثغرة على موقع exploit-db من هنا

PHP Speedy

بالنسبة لهذه الاضافة تحتوي على ثغرة من نوع Remote Code Exec Exploit تمكن المخترق من تطبيق الاوامر في السيرفر مثل عرض اليوزرات في السيرفر يعني بكل بساطة كانه يملك حساب ssh

الاصدار المصاب 0.5.2

صفحة الاضافة على الموقع الرسمي من هنا

الثغرة على موقع exploit-db من هنا

OPS Old Post Spinner

هذه الاضافة مصابة بتغرة LFI Vulnerability اي يمكن قرائة اي ملف بواسطة هذه الثغرة

الاصدار المصاب 2.2.1

صفحة الاضافة على الووردبريس من هنا

الثغرة على موقع exploit-db من هنا

jQuery Mega Menu

و هذه الاضافة ايضا مصابة بتغرة LFI Vulnerability اي يمكن قرائة اي ملف بواسطة هذه الثغرة

الاصدار المصاب 1.0

صفحة الاضافة على الووردبريس من هنا

الثغرة على موقع exploit-db من هنا

IWantOneButton

هذه الاضافة تحتوي على تغرتين وهي XSS و SQL injection الاولى تمكن المخترق من سحب ملفات الكوكيز من جهازك واستعمالها لدخول للوحة التحكم في الحقيقة هذه الثغرة لا يؤمن لها ممكن المخترق يتسعمل طرق ملتوي ويضللك حتى يوصل لغرضه و الثغرة الثانية تمكن من حقن قاعدة البيانات واسخراج يوزر الادمين والباسورد مشفر

الاصدار المصاب 1.0

موقع الاضافة من هنا

الثغرة على موقع exploit-db من هنا

WP Forum Server

هذه الاضافة تحتوي على ثغرة من نوع SQL injection تمكن من حقن قاعدة البيانات واسخراج يوزر الادمين والباسورد مشفر ويمكن ايضا التلاعب قليلا اذا كان البسور المشفر قوي (عالم الاختراق عالم عجيب)

الاصدار المصاب 1.6.5

صفحة الاضافة على الووردبريس من هنا

الثغرة على موقع exploit-db من هنا

Relevanssi

هذه الاضافة تحتوي على ثغرة من نوع Stored XSS Vulnerability تمكن المخترق من سحب ملفات الكوكيز من جهازك واستعمالها لدخول للوحة التحكم

الاصدار المصاب 2.7.2

صفحة الاضافة على الووردبريس من هنا

الثغرة على موقع exploit-db من هنا

GigPress

ايضا هذه الاضافة تحتوي على نفس الثغرة من نوع Stored XSS Vulnerability تمكن المخترق من سحب ملفات الكوكيز من جهازك واستعمالها لدخول للوحة التحكم

الاصدار المصاب 2.1.10

صفحة الاضافة على الووردبريس من هنا

الثغرة على موقع exploit-db من هنا

Comment Rating

هذه الاضافة تحتوي على ثغرتين من نوع SQL injection تمكن من حقن قاعدة البيانات والثغرة الثانية Path disclosure ليست بخطورة الثغرات الاخرى ولكنها تقوم بعرض مسار الموقع والذي يحتوي في اغلب الاحيان على اسم اليوزر الذي قاد يساعد في عملية تخمين الباسورد للوحة تحكم الموقع او ftp

الاصدار المصاب 2.9.23

صفحة الاضافة على الووردبريس من هنا

الثغرة على موقع exploit-db من هنا

Z-Vote

الاضافة تحتوي على ثغرة من نوع SQL injection تمكن من حقن قاعدة البيانات

الاصدار المصاب 1.1

تم حذف صفحة الاضافة على الووردبريس

الثغرة على موقع exploit-db من هنا

User Photo

الاضافة تحتوي على ثغرة من نوع Remote File Upload Vulnerability تمكن المخترق من رفع ملفات تساعده على التحكم بالموقع (phpshell) وهذه اسهل الطرق

الاصدار المصاب 0.9.4

صفحة الاضافة على الووردبريس من هنا

الثغرة على موقع exploit-db من هنا

Enable Media Replace

هذه الاضافة ايضا تحتوي على ثغرة من نوع SQL Inection Vulnerabilities كما ذكرنا سابقا تمكن المخترق من حقن قاعدة البيانات واستخراج الباسورد واليوزر وايضا تحتوي على ثغرة في رفع الملفات وهي انها لا تتحقق من الصيغ المسوح برفعها وقد يستغلها المخترق ايضا

الاصدار المصاب 2.3

صفحة الاضافة على الووردبريس من هنا

الثغرة على موقع exploit-db من هنا

Mingle Forum

هذه الاضافة ايضا تحتوي على ثغرة من نوع SQL Inection Vulnerabilities وايضا تحتوي على ثغرة  من نوع Auth Bypass هذا النوع يمكن المخترق من تخطي صفحة تسجيل الدخول وبالتالي فانه يمكنه تعديل اي صفحة او موضوع في الاضافة

الاصدار المصاب 1.0.26

صفحة الاضافة على الووردبريس من هنا

الثغرة على موقع exploit-db من هنا

نصائح مهمة

  1. ترقية الاضافة اسهل شيء يمكن القيام اي لا تتهاون في ذالك
  2. استعمل ملف robots.txt لمنع محركات البحث من ارشف مجلدات اضافاتك لانه اغلب المخترقين لا يستهدفون وانما يكون الاختراق عشوائي اي يستعملون محركات البحث لمعرفة المواقع التي تحتوي على الاضافات المصابة
  3. قبل تركيب الاضافة قم بالبحث في موقع exploit-db.com هل تحتوي على ثغرة فاذا وجدت انها مصابة قم بزيارة موقعها الرسمي لتتاكد من وجود الترقيع

اذا كان هناك اي استفسار يرجى وضع تعليق ولا تنسى الاشتراك في قائمتنا البريدية ولك جزيل الشكر

والسلام عليكم ورحمة الله وبركاته

15 اضافة مصابة بثغرات امنية خطيرة في الووردبريس 2011 بواسطة مجلة ووردبريس, يمكنك نقل ومشاركة التدوينة مع ذكر المصدر الأصلي للموضوع ، مع رابطه, والتدوينة مرخصة بموجب المشاع الابداعي Creative Commons A-NC-SA 3.0.

الوسوم : , , , , , , , ,


عدد التعليقات على هذه التدوينة : 11 تعليق

  1. عبد الحفيظ أبريل 19th, 2011

    تحديث الإضافات من الأمور الجد جد مهمة و التي يغفل عنها اصحاب المواقع
    احيانا فتؤدي بهم الى التهلكة ، لكنك اظفت ميزة اجمل و هي تفحص الإضافات
    في موقع
    http://www.exploit-db.com/
    فهو امر رائع فعلا و تتقي به شرا كان ليصيبك
    بورك فيك ، نصيحة ذهبية

    • admin أبريل 20th, 2011

      مشكور اخي العزيز عبد الحفيظ على المتابعة
      في الحقيقة هناك مواقع كتيرة مهمة لمعرفة جديد الثغرات وترقيعاته مثل :
      Securityfocus.com
      SecurityReason.com
      …..
      على فكرة موقع exploit-db يعرض فقط الثغرات بدون ترقيع

  2. ali أبريل 23rd, 2011

    شكرا لك اخي على المقال المميز

    وفعلا يجب الابتعاد عن الاضافات التي لا يتم ترقيتها من المبرمج

    تقبل تحياتي

    • admin أبريل 23rd, 2011

      مشكور اخي العزيز علي على المرور , ممكن ايضا ان تعرف هل يتم ترقية الاضافة فقط من نسخة الاضافة مثلا GigPress الاصدار المصاب 2.1.10 والان الاصدار الموجود في موقع الووردبريس 2.1.13 وهذا يدل على انه تم ترقيتها العديد من المراة وممكن تعرف شوف الي تم ترقيعه فقط من changelog لاي اضافة

  3. هشام مايو 30th, 2011

    شكرا لك حبيبى على التحذيرات الاكثر من رائعه وبجد استفد كتير منها

    • admin مايو 31st, 2011

      العفو اخي العزيز هشام

  4. rachid مارس 26th, 2012

    موضوع جد جد مهم
    بس ممكن منك شرح كيفية استخدام موقع
    لأني جاهل في اللغة الإنجليزية exploit-db.com
    مشكور

    • معاذ مارس 28th, 2012

      العفو. يا اخي الموقع سهل كل ما عليك هو استعمال محرك بحث الموقع لتجد احدث التغرات للاضافات ووردبريس


  • مجلة الوردبريس
    مارس 28th, 2012




1. المرجوا الابتعاد عن كتابة تعليقات بنمط (يعطيك العافية)، (روعة)، (ممتاز)، (مشكوووور)، (ابداع).

2. زاوية التعليقات هي جزء مكمّل للموضوع الذي قرأته للتو. حاول أن تحصر تعليقك في صلب الموضوع حتى نستثمر هذا التعليق لكسب المزيد من الفائدة سواءً عن طريق مناقشة الموضوع أو عن طريق إضافة معلومات مكمّلة أو إبداء ملاحظات أخرى في نفس السياق.