يستهدف المتسللون بنشاط عيبًا فادحًا في YITH WooCommerce Gift Cards Premium ، وهو مكون إضافي لمنصة WordPress يُستخدم في أكثر من 50.000 موقع ويب.
YITH WooCommerce Gift Cards Premium هو مكون إضافي يقوم مشغلو مواقع الويب من خلاله ببيع بطاقات الهدايا في متاجرهم عبر الإنترنت.
يتيح استغلال الثغرة الأمنية، التي تم منحها كود CVE-2022-45359 (CVSS v3: 9.8)، يتيح للمهاجمين غير المصادق عليهم تحميل الملفات إلى المواقع المعرضة للخطر، بما في ذلك توفر وصولاً كاملاً إلى الموقع.
تم الكشف عن CVE-2022-45359 للجمهور في 22 نوفمبر 2022، مما أثر على جميع إصدارات المكونات الإضافية حتى النسخة 3.19.0. كان التحديث الأمني الذي عالج المشكلة هو الإصدار 3.20.0، بينما أصدر المطور بالفعل 3.21.0 هذا الاسبوع، وهو هدف الترقية الموصي به.
لسوء الحظ، لا تزال العديد من المواقع تستخدم الإصدار الأقدم والضعيف، وقد ابتكر المتسللون بالفعل استغلالًا عمليًا لمهاجمتهم.
WordPress 6.1 تنطلق رسمياً مع ثيم جديد والعديد من الاضافات
ثغرة خطيرة في اضافة نشطة على WordPress
وفقًا لخبراء أمان في اضافة Wordfence الشهيرة، فإن جهود الاستغلال جارية بشكل جيد، حيث يستفيد المتسللون من الثغرة الأمنية لتحميل الأبواب الخلفية على المواقع، والحصول على تنفيذ التعليمات البرمجية عن بُعد، وتنفيذ هجمات الاستيلاء.
أفاد المحللون أن معظم الهجمات وقعت في نوفمبر قبل أن يتمكن المسؤولون من تصحيح الخلل، ولكن لوحظت ذروة ثانية في 14 ديسمبر 2022.
مزيد من التفاصيل عن الثغرة وكيفية علاجها من هنا.
لا يسمح بنقل هذا المحتوى من سوالف دون الاشارة برابط مباشر
