در این مطلب با ما همراه باشید تا در خصوص جزئیات پلاگین وردپرس و باگ آن با شما صحبت کنیم. این پلاگین در آپدیت جدید خود با رفع باگ توانسته از آسیب های جدی که در کمین بسیاری از وبمستران بود را از بین ببرد.

پلاگین Database Reset وردپرس باگ خطرناکی به واسطه ی ساختار ابتدایی داشت که هکر به سادگی می توانست کنترل سایت هایی که از نظر امنیتی کمتر مرود توجه بودند را در دست بگیرد و وبمستران و مدیران وبسایت را دچار دردسر کند.

پلاگین Database Reset اجازه می دهد تا کاربران بدون نیاز به پروسه های استاندارد وردپرس پایگاه داده را به صورت کامل یا بر اساس جداول خاصی بازنشانی کنند. طبق آمارهای کتابخانه وردپرس این افزونه در بیش از ۸۰ هزار وب‌سایت فعال است با این حال تیم امنیتی «وردفنس» از کشف دو آسیب پذیری خطرناک در آن خبر داده که از هرکدام می توان برای در اختیار گرفتن کنترل سایت ها یا بازنشانی کامل آنها استفاده کرد.

مورد اول با شناسه CVE-2020-7048 آنقدر وخیم است که در CVSS امتیاز ۹.۱ را دریافت کرده چرا که هیچکدام از توابع ریست دیتابیس در امان نیستند و هر کاربری بدون نیاز به احراز هویت امکان بازنشانی پایگاه داده و پاک کردن تمامی تصاویر، پست ها، نظرات، کاربران، محتوای آپلود شده و غیره را در چند ثانیه دارد.

شناسه (کد) اسیب پذیری شماره ی دو برای این پلاگین CVE-2020-7047 است و امتیاز ۸.۱ را دریافت کرده و به همه کاربران تایید شده فارغ از سطح دسترسی، امکان حذف دیتابیس و کاربران دیگر را با یک درخواست ساده می دهد. Chloe Chamberland، از کارشناسان وردفنس در این باره می گوید:

هر بار که جدول wp_users ریست می شود، تمامی کاربرها از جمله مدیران حذف می شوند و تنها کاربری که لاگین است، باقی می ماند. در این حالت فردی که درخواست را ارسال کرده حتی اگر کاربر عادی باشد، به صورت خودکار به مدیر ارتقا پیدا می کند.

 با این تفاسیر هکری که تنها با ارسال درخواست مدیر شده، کنترل سایت و تمام سیستم های مدیریتی را در دست خواهد گرفت.

این طور که به نظر می آید این نقص امنیتی در آخرین نسخه پلاگین Database Reset رفع شده اما مشکل اینجاست که تنها ۵.۲ درصد آن را دریافت کرده اند. کارشناسان امنیتی به کاربران این پلاگین توصیه کرده اند برای در امان ماندن از حملات هرچه سریعتر آخرین نسخه افزونه را دریافت کنند.