يبدو ان برنامج النشرة الإخبارية أو Newsletter، هذا المكوّن الإضافي لمنصة WordPress والحاصل على أكثر من 300000 عملية تثبيت، يتضمن زوجا من نقاط الضعف التي قد تؤدي إلى تنفيذ التعليمات البرمجية عن بعد وحتى إمكان الاستيلاء على الموقع الالكتروني بالكامل.
يقدم المكون الإضافي Newsletter لمدير أي موقع الكتروني محررًا مرئيًا يمكن استخدامه لإنشاء الرسائل الإخبارية وحملات البريد الإلكتروني من داخل WordPress. وفقا لـ Wordfence، فإن المشكلات المكتشفة هي ضعف البرمجة النصية عبر الموقع (XSS) وثغرة حقن كائن PHP، وكلاهما يمكن تصحيحهما عن طريق تنزيل التحديث الصادر عن النشرة الإخبارية، الإصدار 6.8.8.
أخطاء برنامج النشرة الإخبارية
الخطأ الأول هو مشكلة XSS منعكسة مصادق عليها، وهي مشكلة متوسطة الخطورة تحتل المرتبة 6.5 في مقياس CvSS. بحيث قد يسمح الاستغلال الناجح للمهاجمين الذين قاموا بتسجيل الدخول وبحقن شفرة ضارة في نافذة الويب.
وأوضحت Wordfence أنه على الرغم من حقيقة أن هذا النوع من الأخطاء يتطلب من المهاجم خداع الضحية لأداء إجراء محدد، مثل النقر على رابط معد خصيصا لتنفيذ الهجوم، فإنه لا يزال من الممكن استخدامه لحقن الأبواب الخلفية أو إضافة مستخدمين إداريين ضارين. كما أنه إذا خدع المهاجم أي ضحية وقام بإرسال طلب موافقة يحتوي على جافا سكريبت ضار، فسيتم فك شفرة جافا سكريبت الخبيثة وتنفيذها في متصفح الضحية وبالتالي السماح للمهاجم بتنفيذ مخططه التخريبي.
الخطأ الثاني هو خلل حقن كائن PHP عالي الخطورة، يحمل تصنيف شدة 7.5 على مقياس CvSS. يمكن استخدام الثغرة لحقن كائن PHP والذي يمكن معالجته بدوره عن طريق رمز من مكون إضافي أو سمة أخرى. يستخدم هذا الحقن لتنفيذ التعليمات البرمجية التعسفية، أو تحميل الملفات أو أي نوع من التكتيكات الأخرى التي يمكن أن تؤدي إلى الاستيلاء على الموقع الالكتروني بالكامل.
طرق الاستغلال
من حيث طرق الاستغلال، أوضح باحثو Wordfence أن وظيفة destruct تستخدم من قبل العديد من المواقع لحذف الملفات تلقائيا وتنظيفها بمجرد اكتمال العملية الشرعية المحددة مسبقا. مثال على ذلك هو أي نص برمجي على موقع للتجارة الإلكترونية يحسب أسعار المنتجات، ويخزن سجلا لهذا الإجراء، ثم يحذف السجل عند الانتهاء.
إذا كان هذا الرمز يعمل على موقع يحتوي أيضا على ثغرة إدخال كائن PHP، فيمكن للمهاجم حذف ملف wp-config.php الذي يحتوي على إعدادات التكوين الأساسية لموقع WordPress عن طريق إرسال حمولة مصنوعة خصيصا لذلك. وبالتالي يؤدي حذف هذا الملف إلى إعادة تعيين الموقع والسماح للمهاجم بالسيطرة عن طريق توجيه التكوين الجديد للموقع إلى قاعدة بيانات بعيدة تقع تحت سيطرته الكاملة.
وأضاف الباحثون أنه لكي ينجح الهجوم، يحتاج المهاجم إلى معرفة المكونات الإضافية التي تم تثبيتها على موقع معين والتي يمكن الكشف عنها باستخدام أدوات المسح. هذا يعني أنه من غير المحتمل أن يتم استغلال الخطأ بواسطة برنامج نصي تلقائي أو بكميات كبيرة وعلى صعيد واسع.