نقص‌های امنیتی بحرانی در افزونه و قالب‌های وردپرسی ژوپیتر (Jupiter)

۲۹ اردیبهشت ۱۴۰۱

تحلیلگران امنیتی شرکت Wordfence اخیرا مجموعه‌ای از آسیب‌پذیری‌های بحرانی را شناسایی کرده‌اند که روی افزونه‌ JupiterX Core و قالب‌های Jupiter و JupiterX در وردپرس تاثیر می‌گذارند.

ژوپیتر یک سازنده قالب قدرتمند و پرطرفدار برای سایت‌های وردپرسی است که در حال حاضر، در بیش از ۹۰۰ هزار وبلاگ، مجله‌های آنلاین و وب‌سایت مختلف از آن استفاده می‌شود.

آسیب‌پذیری‌های شناسایی شده که با شناسه CVE-2022-1654 پیگیری می‌شوند، در دسته آسیب‌پذیری‌های بحرانی با شدت خطر ۹.۹ قرار می‌گیرند. این آسیب‌پذیری‌‌های مهاجمان اجازه می‌دهند تا به اختیارات یک مدیر وب‌سایت دسترسی پیدا کنند.

مهاجمان پس از بهره‌برداری از این آسیب‌پذیری‌ها، قادر خواهند بود اقدامات نامحدودی را روی وب‌سایت‌ها از جمله ایجاد تغییرات در محتوا، تزریق اسکریپت‌های مخرب و حتی حذف وب‌سایت انجام دهند.

بر اساس گفته‌های محققان Wordfence، این نقص در عملکردی به نام «uninstallTemplate» قرار دارد که سایت را پس از حذف تم بازنشانی می‌کند.

این نقص در تاریخ پنجم آوریل شناسایی شده و توسعه‌دهنده این افزونه به همراه جزییات فنی این نقص در جریان قرار داده شده است.

توسعه‌دهندگان ژوپیتر در تاریخ ۲۸ آوریل نیز اصلاحیه‌ای فوری برای این آسیب‌پذیری منتشر کرده و سپس شرکت Artbees در تاریخ ۱۰ می این نقص را به‌طور کلی اصلاح کرد.

نسخه‌های تحت تاثیر قرار گرفته توسط این آسیب‌پذیری عبارتند از Jupiter Theme نسخه‌ ۶.۱۰.۱ و نسخه‌های قدیمی‌تر آن، JupiterX Theme نسخه‌ ۲.۰.۶ به نسخه‌‌های قدیمی‌تر آن و JupiterX Core Plugin نسخه ۲.۰.۷ و تمام نسخه‌های قدیمی آن اعلام شده است.

 

توضیحات بیشتر:

Critical Jupiter WordPress plugin flaws let hackers take over sites