• صفحه اصلی
  • همه اخبار
  • تبلیغات تکناک
  • درباره ما
  • تماس با ما
اخبار تکنولوژی روز جهان و ایران
  • فناوری
    • اخبار هوش مصنوعی
    • رباتیک
    • اینترنت و شبکه
    • شبکه های اجتماعی
    • هوافضا
    • معماری
    • ورزش
    • رویداد ها
    • دوربین دیجیتال
  • کامپیوتر و موبایل
    • موبایل و تبلت
    • لپ تاپ و کامپیوتر
    • اپلیکیشن موبایل
    • نرم افزار
    • سخت افزار
    • ساعت هوشمند
    • مانیتور
    • اسپیکر و هدفون
    • سیستم عامل موبایل
    • سیستم عامل کامپیوتر
  • نقد و بررسی
    • بررسی موبایل و تبلت
    • کنسول بازی
    • بررسی لپ تاپ و کامپیوتر
    • قطعات کامپیوتر
    • نرم افزار
    • بررسی اسپیکر و هدفون
    • بررسی ساعت هوشمند
  • آموزش
    • سیستم عامل موبایل
    • سیستم عامل کامپیوتر
    • آموزش هوش مصنوعی
    • سخت افزار
  • اخبار ارز دیجیتال
    • قیمت لحظه ای ارز دیجیتال
    • ماشین حساب ارز دیجیتال
    • آموزش ارز دیجیتال
  • علمی
    • سلامت و پزشکی
    • انرژی
    • فیزیک
    • شیمی
    • نجوم
    • ورزش
    • محیط زیست
    • باستان شناسی
  • کسب و کار
    • شرکت ها
    • بورس
    • مدیریت(پروژه، کسب و کار، منابع انسانی)
    • استارتاپ ها
    • دولت الکترونیک
    • رویداد کسب و کار
  • وسائل نقلیه
    • خودرو
    • دوچرخه
    • موتور سیکلت
    • قطار
    • هواپیما
  • بازی و سرگرمی
    • کنسول بازی های کامپیوتری
    • بازی های کامپیوتر
    • بازی کنسول
    • بازی موبایل
    • فیلم و سریال
  • چند رسانه ای
    • عکس
    • ویدئو
  • اخبار داخلی
    • دانش بنیان
    • دولت الکترونیک
    • رویداد داخلی
    • بازار
    • دانشگاه
No Result
مشاهده تمامی نتایج
اخبار تکنولوژی روز جهان و ایران
  • فناوری
    • اخبار هوش مصنوعی
    • رباتیک
    • اینترنت و شبکه
    • شبکه های اجتماعی
    • هوافضا
    • معماری
    • ورزش
    • رویداد ها
    • دوربین دیجیتال
  • کامپیوتر و موبایل
    • موبایل و تبلت
    • لپ تاپ و کامپیوتر
    • اپلیکیشن موبایل
    • نرم افزار
    • سخت افزار
    • ساعت هوشمند
    • مانیتور
    • اسپیکر و هدفون
    • سیستم عامل موبایل
    • سیستم عامل کامپیوتر
  • نقد و بررسی
    • بررسی موبایل و تبلت
    • کنسول بازی
    • بررسی لپ تاپ و کامپیوتر
    • قطعات کامپیوتر
    • نرم افزار
    • بررسی اسپیکر و هدفون
    • بررسی ساعت هوشمند
  • آموزش
    • سیستم عامل موبایل
    • سیستم عامل کامپیوتر
    • آموزش هوش مصنوعی
    • سخت افزار
  • اخبار ارز دیجیتال
    • قیمت لحظه ای ارز دیجیتال
    • ماشین حساب ارز دیجیتال
    • آموزش ارز دیجیتال
  • علمی
    • سلامت و پزشکی
    • انرژی
    • فیزیک
    • شیمی
    • نجوم
    • ورزش
    • محیط زیست
    • باستان شناسی
  • کسب و کار
    • شرکت ها
    • بورس
    • مدیریت(پروژه، کسب و کار، منابع انسانی)
    • استارتاپ ها
    • دولت الکترونیک
    • رویداد کسب و کار
  • وسائل نقلیه
    • خودرو
    • دوچرخه
    • موتور سیکلت
    • قطار
    • هواپیما
  • بازی و سرگرمی
    • کنسول بازی های کامپیوتری
    • بازی های کامپیوتر
    • بازی کنسول
    • بازی موبایل
    • فیلم و سریال
  • چند رسانه ای
    • عکس
    • ویدئو
  • اخبار داخلی
    • دانش بنیان
    • دولت الکترونیک
    • رویداد داخلی
    • بازار
    • دانشگاه
No Result
مشاهده تمامی نتایج
اخبار تکنولوژی روز جهان و ایران

تک ناک » فناوری » امنیت سایبری » شناسایی یک آسیب پذیری خطرناک در وردپرس

شناسایی یک آسیب پذیری خطرناک در وردپرس

امیرحسین یونس نوشته شده توسط امیرحسین یونس
دوشنبه 12 تیر 1402 - 16:45
در امنیت سایبری, فناوری
کپی لینکاشتراک گذاری در تلگراماشتراک گذاری در توییتر

هکرها از آسیب پذیری روز صفر در پلاگین Ultimate Member برای وردپرس با بیش از 200 هزار نصب سو استفاده کرده‌اند.

به گزارش تکناک، آنها با نادیده گرفتن اقدامات امنیتی و ثبت‌نام حساب مدیریتی جعلی، به کنترل سایت‌ها دسترسی پیدا کرده‌اند. Ultimate Member یک پلاگین عضویت و پروفایل کاربری است که ثبت نام و ساخت جوامع در سایت‌های وردپرس را آسان می‌کند و در حال حاضر بیش از 200 هزار نصب فعال دارد.

این آسیب‌پذیری با شناسه CVE-2023-3460 و امتیاز CVSS v3.1 برابر 9.8 (“critical”)، تمام نسخه‌های پلاگین Ultimate Member، از جمله آخرین نسخه آن 2.6.6 را تحت تأثیر قرار می‌دهد.

اگرچه توسعه‌دهندگان در نسخه‌های 2.6.3، 2.6.4، 2.6.5 و 2.6.6 سعی کردند با اصلاح این نقص مشکل را برطرف کنند، اما هنوز راه‌هایی برای بهره‌برداری از آسیب‌پذیری وجود دارد. توسعه‌دهندگان گفته‌اند که در حال ادامه کار برای رفع مشکل باقی‌مانده هستند و امیدوارند به زودی یک به‌روزرسانی جدید را منتشر کنند.

یکی از توسعه‌دهندگان Ultimate Member نوشت: ما از نسخه 2.6.3 که یکی از مشتریان ما گزارش داد، به دنبال رفع مشکلات مربوط به این آسیب‌پذیری هستیم.

نسخه‌های 2.6.4، 2.6.5 و 2.6.6 به طور جزئی این آسیب‌پذیری را بسته‌اند، اما همچنان در حال همکاری با تیم WPScan هستیم تا بهترین نتیجه را بدست آوریم. همچنین گزارش آن‌ها با تمام جزئیات لازم به دست ما رسیده است.

تمامی نسخه‌های قبلی آسیب‌پذیر هستند، بنابراین به شدت توصیه می‌کنیم وب‌سایت‌های خود را به نسخه 2.6.6 ارتقا دهید و برای به‌دست آوردن به‌روزرسانی‌های امنیتی و ویژگی‌های جدید در آینده به روزرسانی‌های منتشر شده توجه کنید.

حملاتی که از CVE-2023-3460 بهره می‌برند

حملاتی که از این روز صفر بهره برده‌اند، توسط متخصصان امنیت وب سایت در Wordfence کشف شدند، که هشدار می‌دهند عوامل تهدید کننده با استفاده از فرم‌های ثبت نام پلاگین، برای تنظیم مقادیر meta کاربر دلخواه در حساب‌های خود از آن سوء استفاده می‌کنند.

به طور خاص، مهاجمان مقدار meta کاربر “wp_capabilities” را تنظیم می‌کنند تا نقش کاربر خود را به عنوان مدیر تعریف کنند و به آن‌ها دسترسی کامل به سایت آسیب‌پذیر را محقق کنند.

به گفته Wordfence، این پلاگین دارای یک لیست سیاه برای کلیدهایی است که کاربران نباید قادر به به‌روزرسانی آن‌ها باشند؛ با این حال، به طور آسان می‌توان این تدابیر حفاظتی را از بین برد.

سایت‌های وردپرسی که در این حملات با CVE-2023-3460 هک شده‌اند، موارد زیر را نشان می‌دهند:

  • ظاهر شدن حساب مدیر جدید در وب‌سایت
  • استفاده از نام‌های کاربری wpenginer، wpadmins، wpengine_backup، se_brutal، segs_brutal
  • ثبت دسترسی آی‌پی‌های مخرب به صفحه ثبت نام Ultimate Member
  • ثبت دسترسی از 146.70.189.245، 103.187.5.128، 103.30.11.160، 103.30.11.146 و 172.70.147.176
  • ظاهر شدن یک حساب کاربری با آدرس ایمیل مرتبط با “com”
  • نصب پلاگین‌ها و پوسته‌های وردپرس جدید در سایت.

با توجه به اینکه نقص اساسی هنوز بدون تعمیر باقی مانده است و به آسانی قابل بهره‌برداری است، WordFence توصیه می‌کند که پلاگین Ultimate Member بلافاصله حذف شود.

WordFence توضیح می‌دهد که حتی قانون فایروالی که به طور خاص برای محافظت از مشتریان خود در برابر این تهدید توسعه داده شده است، تمام سناریوهای بهره‌برداری ممکن را پوشش نمی‌دهد، بنابراین حذف پلاگین تا زمانی که فروشنده مشکل را بررسی و رفع کند، تنها راهکار احتیاطی است.

اگر سایتی پیدا شود که مورد هک قرار گرفته است، براساس IoCs در بالا، حذف پلاگین برای رفع خطر کافی نخواهد بود.

در این حالت، صاحبان وب‌سایت باید اسکن کامل بد افزار را اجرا کنند تا هر گونه پیامدهای باقی‌مانده از هک را مانند حساب‌های مدیریتی جعلی و هر راه دیگری را از بین ببرند.

امیرحسین یونس

امیرحسین یونس

کارشناس ارشد محیط زیست، نویسنده حوزه تکنولوژی

مطالب مرتبط

دولت بریتانیا دسترسی شبانه نوجوانان را به شبکه‌های اجتماعی محدود می‌‌ کند
شبکه های اجتماعی

دولت بریتانیا دسترسی شبانه نوجوانان را به شبکه‌های اجتماعی محدود می‌‌ کند

نوشته شده توسط تارخ ترهنده
24 تیر 1405
مدل هوش مصنوعی Xiaomi-Robotics-U0 برای توسعه ربات‌های هوشمند
اخبار هوش مصنوعی

شیائومی مدل هوش مصنوعی Xiaomi-Robotics-U0 را معرفی کرد

نوشته شده توسط ساینا چمنی
24 تیر 1405
موتور هیدروژنی جدید ایرباس جایگزین توربین‌های جت می‌ شود
فناوری

موتور هیدروژنی جدید ایرباس جایگزین توربین‌های جت می‌ شود

نوشته شده توسط نرگس چالوک
24 تیر 1405
ماشین لباس‌شویی‌ و خشک‌کن هوشمند سامسونگ معرفی شدند
پیشنهاد سردبیر

ماشین لباس‌شویی‌ و خشک‌کن هوشمند سامسونگ معرفی شدند

نوشته شده توسط ساینا چمنی
24 تیر 1405
روتر جدید ZTE با وای فای ۷ و اسنپدراگون X75 معرفی شد
اینترنت و شبکه

روتر جدید ZTE با وای فای ۷ و اسنپدراگون X75 معرفی شد

نوشته شده توسط تارخ ترهنده
24 تیر 1405
خبر بعدی

اختلال عملکرد کف لگن چیست ؟

دیدگاهتان را بنویسید لغو پاسخ

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

آذرآنلاین آذرآنلاین آذرآنلاین

پیشنهادی

ذخیره ساز تحت شبکه

ذخیره‌ساز تحت شبکه یا NAS چیست و چه کاربردهایی دارد؟

3 تیر 1405
سیستم هشدار زلزله اندروید ۱۱.۴ میلیون نفر را پیش از زلزله ونزوئلا آگاه کرد

سیستم هشدار زلزله اندروید ۱۱.۴ میلیون ونزوئلایی را نجات داد

10 تیر 1405

داغ‌ترین‌های روز

جهش بزرگ در تعامل صوتی؛ مکالمه فارسی روان به چت‌بات گروک اضافه شد

جهش بزرگ در تعامل صوتی؛ مکالمه فارسی روان به چت‌بات گروک اضافه شد

29 آذر 1404
تام‌کت‌؛ جنگنده ای که هنوز در ایران می درخشد

تام‌کت‌؛ جنگنده ای که هنوز در ایران می درخشد

14 آذر 1403
مایکروسافت سرعت و پایداری جست‌وجوی ویندوز ۱۱ را افزایش داد

مایکروسافت سرعت و پایداری جست‌وجوی ویندوز ۱۱ را افزایش داد + تصویر

23 تیر 1405 - به‌روزشده در 24 تیر 1405
جارو رباتیک

آیا جاروی رباتیک واقعا ارزش خرید دارد؟ معرفی 10 مدل برتر  از گران‌ترین تا اقتصادی‌ترین

20 تیر 1404
تصویر تاریک و خارج از فوکوس (Bokeh) از صفحه نمایش که عنوان نارنجی رنگ “Office” و متن کم‌رنگ “Microsoft Office Home and Stud” را در بخش بالایی آیکون‌های برنامه‌های آفیس نشان می‌دهد.

این ۱۵ محصول مایکروسافت سال ۲۰۲۶ بازنشسته می‌شوند

22 تیر 1405
Technoc

دنیا با سرعتی خیره کننده به سمت تحقق رویاهایی می رود که تا دیروز دست نیافتنی و محال بود و بشر با گذر از دریایی از موانع یک به یک در حال تحقق آنها است.

ما در” تک ناک” تلاش می کنیم سهمی از انعکاس تحولات بی شمار فناوری و اخبار تکنولوژی داشته باشیم و در این کهکشان بی انتهای یافته های علمی و دانش محور محتوایی قابل اتکاء و اخباری موثق را از گوشه و کنار دنیا در اختیار علاقمندان و مخاطبان خود قرار دهیم.

ما را در شبکه های اجتماعی دنبال کنید

تازه‌ها

گرمای شدید هوا تا چه زمانی ادامه خواهد داشت؟

گرمای شدید هوا تا چه زمانی ادامه خواهد داشت؟

24 تیر 1405
دولت بریتانیا دسترسی شبانه نوجوانان را به شبکه‌های اجتماعی محدود می‌‌ کند

دولت بریتانیا دسترسی شبانه نوجوانان را به شبکه‌های اجتماعی محدود می‌‌ کند

24 تیر 1405
مدل هوش مصنوعی Xiaomi-Robotics-U0 برای توسعه ربات‌های هوشمند

شیائومی مدل هوش مصنوعی Xiaomi-Robotics-U0 را معرفی کرد

24 تیر 1405
موتور هیدروژنی جدید ایرباس جایگزین توربین‌های جت می‌ شود

موتور هیدروژنی جدید ایرباس جایگزین توربین‌های جت می‌ شود

24 تیر 1405

دسترسی سریع

  • فناوری
  • کامپیوتر و موبایل
  • نقد و بررسی
  • آموزش
  • ارز دیجیتال
  • علمی
  • کسب و کار
  • وسائل نقلیه
  • بازی و سرگرمی
  • چند رسانه ای
  • صفحه اصلی
  • همه اخبار
  • تبلیغات تکناک
  • درباره ما
  • تماس با ما

© Copyright 2025 Technoc.ir

No Result
مشاهده تمامی نتایج
  • فناوری
    • اخبار هوش مصنوعی
    • رباتیک
    • اینترنت و شبکه
    • شبکه های اجتماعی
    • هوافضا
    • معماری
    • ورزش
    • رویداد ها
    • دوربین دیجیتال
  • کامپیوتر و موبایل
    • موبایل و تبلت
    • لپ تاپ و کامپیوتر
    • اپلیکیشن موبایل
    • نرم افزار
    • سخت افزار
    • ساعت هوشمند
    • مانیتور
    • اسپیکر و هدفون
    • سیستم عامل موبایل
    • سیستم عامل کامپیوتر
  • نقد و بررسی
    • بررسی موبایل و تبلت
    • کنسول بازی
    • بررسی لپ تاپ و کامپیوتر
    • قطعات کامپیوتر
    • نرم افزار
    • بررسی اسپیکر و هدفون
    • بررسی ساعت هوشمند
  • آموزش
    • سیستم عامل موبایل
    • سیستم عامل کامپیوتر
    • آموزش هوش مصنوعی
    • سخت افزار
  • اخبار ارز دیجیتال
    • قیمت لحظه ای ارز دیجیتال
    • ماشین حساب ارز دیجیتال
    • آموزش ارز دیجیتال
  • علمی
    • سلامت و پزشکی
    • انرژی
    • فیزیک
    • شیمی
    • نجوم
    • ورزش
    • محیط زیست
    • باستان شناسی
  • کسب و کار
    • شرکت ها
    • بورس
    • مدیریت(پروژه، کسب و کار، منابع انسانی)
    • استارتاپ ها
    • دولت الکترونیک
    • رویداد کسب و کار
  • وسائل نقلیه
    • خودرو
    • دوچرخه
    • موتور سیکلت
    • قطار
    • هواپیما
  • بازی و سرگرمی
    • کنسول بازی های کامپیوتری
    • بازی های کامپیوتر
    • بازی کنسول
    • بازی موبایل
    • فیلم و سریال
  • چند رسانه ای
    • عکس
    • ویدئو
  • اخبار داخلی
    • دانش بنیان
    • دولت الکترونیک
    • رویداد داخلی
    • بازار
    • دانشگاه

© Copyright 2025 Technoc.ir