اكتشاف ثغرتين في إضافة All in One SEO

اكتشاف ثغرتين في إضافة All in One SEO

شاهد في المقالة

مقدمة عامة

الأسبوع اللي فات تم اكتشاف ثغرتين في إضافة WordPress: All in One SEO ودي أحد إضافات السيو المشهورة وبتستخدم في أكثر من ثلاثة ملايين موقع ويب.
👈🏻 الثغرتين (Privilege Escalation, SQL Injection).
بيحتاجوا إن المهاجم يكون له حساب على الموقع حتى لو الصلاحية (مشترك)، الثغرتين لو تم استغلالهم مع بعض المهاجم هيقدر بالصلاحية بتاعته البسيطة يحصل على امتيازات أكبر يقدر بيها يسيطر على الموقع، إزاي الكلام ده!

تفاصيل الثغرتين

⚠️ الثغرة الأولى: Privilege Escalation في إصدارات الإضافة نسخة 4.0.0 ونسخة 4.1.5.2
لديها القدرة على الكتابة فوق ملفات معينة ضمن بنية ملف WordPress، وبكده نقدر نرفع امتيازات حسابات المشتركين إلى مشرفين.
⚠️ الثغرة الثانية: Authenticated SQL Injection تم اكتشافها في نسخ 4.1.3.1 و 4.1.5.2 من الإضافة.
 
وبما إن الثغرة الأولى سمحت برفع الامتيازات للصلاحية فيمكن للمهاجم إنه أولًا يرفع الامتياز للصلاحية بتاعته وبعد كده ينفذ أوامر SQL يسرب بيها البيانات الحساسة من قاعدة البيانات، بما في ذلك معلومات المسؤول!

قم بالتحديث فورًا

💡 نوصي في تجهيز بتحديث الإضافة فورًا لأحدث إصدار وقم بوضع أحد الإضافات المشهورة في حماية مواقع الوردبريس مثل: Wordfence/Sucuri، وبالتوفيق للجميع.

ليه أطلب من تجهيز

تعتمد الشركات على مبدأ الدعاية والتسويق فتقوم بإبراز بعض الخدمات للعميل لقاء أثمان زهيدة وإخفاء الخدمات الأصلية الهامة عنه، بحيث أنه سيحتاجها لا محالة فحينها يتوجب عليه الدفع لقاء هذه الخدمات.. ما يرفع من سعر الاستضافة بشكل مهيب.. ولا يخفى عن عميلي أن خدمات كالحماية والصيانة والتحديثات لا غنى عنهم بعد إنتهاء المشروع وبهذه الخدمات يستمر الموقع باستقرار وأمان.. هذه الخدمات تحديدًا هي مجرد كلمات تكتب في باقات الشركات للعميل ولا تنفذ مطلقًا وتكون بقيمة إضافية.. أما في تجهيز.. فصيانة موقعك وحمايته وتحديثه طوال مكوثك في الاستضافة مجانًا دون أي مقابل ولا أي أسعار خفية.

أعلن واربح مع تجهيز

نحن في تجهيز نحب أن يستفيد الجميع.. لذا قررنا أن كل عملية حجز عن طريق أي معلن له نسبة معلومة مسبقًا ومحددة في باقات استضافاتنا بالموقع وتترواح بقيم مختلفة تصل إلى 300 دولار للحجز الواحد وهي أعلى قيمة موجودة بين كافة شركات الاستضافات.. تصفح باقات تجهيز الخاصة بالاستضافات فائقة السرعة.

أحتاج استضافة

يمكنك التواصل مباشرة عبر: 6128 1088 2010+ | أو من خلال البريد الخاص بنا: contact@tghez.com أو من خلال التواصل المباشر مع مدير الموقع: المهندس أحمد أسامة عبر: 6128 4366 2011+

شارك المقالة عبر

فيسبوك
غرد
تليجرام
البريد
لينكدإن
واتساب

مقالات ذات صلة

عن الكاتب

Picture of مدير موقع تجهيز
مدير موقع تجهيز
تجهيز كافة خدمات البرمجيات الخاصة بتصميم وتطوير وحماية المواقع الإلكترونية وتوزيع الاستضافات بمختلف الأحجام والأنواع وخدمات التصميم وإنشاء الهويات التجارية للمؤسسات والأفراد

شاركنا رأيك

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

جميع الحقوق محفوظة© 2023 - موقع تجهيز

You cannot copy content of this page

Scroll to Top