امکان هک گذرواژه کاربران سایتهای وردپرسی
وردپرس محبوبترین سیستم مدیریت محتوا (CMS) در جهان، با داشتن یک آسیبپذیری منطقی به هکر این امکان را میدهد که گذرواژه کاربر را تغییر دهد.
به گزارش خبرنگار حوزه فناوری گروه فضای مجازی باشگاه خبرنگاران جوان؛ خطر این آسیبپذیری (CVE-2017-8295) هنگامی مشخص میشود که بدانید همه نسخههای وردپرس حتی آخرین نسخه یعنی نسخه 4.7.4 هنوز این آسیبپذیری را دارند.
سال گذشته این آسیب پذری توسط یک محقق لهستانی در زمینه ا
کشف شد و همان موقع به تیم امنیت وردپرس گزارش شد، اما تیم امنیتی وردپرس تصمیم گرفتند آن را نادیده بگیرند و میلیونها وب سایت اینترنتی وردپرسی را آسیبپذیر نگه دارند.
طبق اطلاعات به دست آمده، وقتی که یک کاربر با استفاده از گزینه بازیابی گذرواژه، درخواست بازیابی گذرواژه را صادر میکند، وردپرس یک کد محرمانه تولید و آن را برای آدرس ایمیل کاربر (که در پایگاه داده ذخیره شده) ارسال میکند.
هنگام ارسال این ایمیل، وردپرس از یک متغیر به نام SERVER_NAME استفاده میکند تا نام هاست "Hostname" را به دست آورده و در جایی دیگر مانند قسمت From ایمیل یا همان نام سایت مبدأ ارسالکننده ایمیل از آن استفاده کند. در این قسمت امکان دسترسی و تغییر گذرواژه وجود دارد.
انتهای پیام/
