تم اكتشاف ثغرة في WPML، الإضافة المتعددة اللغات الشهيرة لـ WordPress

تم العثور على أن WPML، أداة شائعة لإنشاء مواقع ووردبريس متعددة اللغات، ضعيفة في مواجهة الهجمات الإلكترونية، حسبما أفادت Cybernews اليوم. يمكن أن يسمح هذا الخلل الأمني، الذي اكتشفه الباحث الأمني “stealthcopter،” للمهاجمين بتنفيذ الأكواد عن بعد على المواقع الضعيفة.

تلاحظ Cybernews أن WPML، مع أكثر من مليون تثبيت نشط، هو إضافة مستخدمة على نطاق واسع لإدارة الترجمات وتبديل اللغة على مواقع ووردبريس. ومع ذلك، أفاد الباحث أن التعامل مع بعض أنواع المحتوى في الإضافة كان عرضة لهجمات حقن قالب الخادم.

بالاستفادة من هذا الضعف، يمكن للمهاجمين بشكل محتمل الحصول على وصول غير مصرح به إلى خادم موقع الويب وسرقة المعلومات الحساسة، مثل كلمات المرور، وبيانات المستخدمين، وغيرها من المعلومات السرية.

“تستخدم الحمولة المصممة بشكل خاص وظيفة الإفراغ لجمع الحروف اللازمة لبناء الأوامر دون استخدام علامات الاقتباس. بمجرد أن يكون لدينا تنفيذ الأمر الأساسي، يمكننا استغلاله أكثر للحصول على المزيد من السيطرة على الخادم،” قال الباحث في تقريره.

أظهرت الباحثة الضعف بنجاح عبر تنفيذ شيفرة خبيثة داخل محرر الـWordPress. على الرغم من أن تكوين الأوامر المعقدة قد يتطلب حلولاً بديلة إضافية، إلا أن العواقب المحتملة لهجوم ناجح قاسية.

هذا الحادث يبرز أن الأمان هو عملية مستمرة، تتطلب اليقظة في جميع مراحل التطوير والتعامل مع البيانات.

تخلص الباحثة إلى أن هذا الضعف يسلط الضوء على المخاطر الناجمة عن عدم كفاية تطهير الإدخال في محركات القوالب. تنصح بأن يجب على المطورين تطهير والتحقق من صحة مدخلات المستخدمين باستمرار، وبشكل خاص عند تقديم المحتوى الديناميكي.

قد أبلغت Stealthcopter عن هذا الضعف من خلال برنامج Wordfence Bug Bounty وتلقت مكافأة قدرها 1,639.00 دولار، كما لاحظت Wordfence. تؤكد Wordfence أنه تم التعامل مع هذا الضعف في الإصدار 4.6.13 من WPML، وتنصح بشدة المستخدمين بتحديث مواقعهم إلى الإصدار المُصحح الأحدث في أقرب وقت ممكن.