اكتشف باحثون أمنيون وجود ثغرة أمنية في المكون الإضافي Essential Addons for Elementor، المشهور في منصة إدارة المحتوى ( ووردبرس ) WordPress، والذي يستخدمه أكثر من مليون موقع.

وتكمن الثغرة، التي وُصفت بأنها بالغة الأهمية، في إمكانية تنفيذ التعليمات البرمجية عن بُعد في الإصدار 5.0.4 وما قبله من المكون الإضافي، وهي تسمح للمستخدمين غير المصرح لهم بتنفيذ هجمات تضمين الملف المحلي، مثل: ملفات PHP، وذلك بهدف تنفيذ تعليمات برمجية على الموقع.

وأوضح باحثو PatchStack، الذين اكتشفوا الثغرة الأمنية، الأمر بالقول: “توجد الثغرة الأمنية في تضمين الملف المحلي بسبب الطريقة التي تُستخدم فيها بيانات إدخال المستخدم داخل وظيفة التضمين في PHP، والتي تُعدّ جزءًا من وظائف ajax_eael_product_gallery، و ajax_load_more”.

وأضاف الباحثون أن الشرط الأساسي الوحيد للهجوم هو تمكين الموقع من أدوات “المعرض الديناميكي”، و”معرض المنتجات” بحيث لا يوجد فحص للرموز.

محاولتا تصحيح فاشلتان

اكتشف الباحث Wai Yan Muo Thet الثغرة الأمنية في 25 كانون الثاني/ يناير المنصرم، وكان مطور الإضافة على علم سابق بوجودها، وقد أطلق الإصدار 5.0.3 من الإضافة لمعالجة هذه المشكلة من خلال تطبيق وظيفة (تصحيح حقل النص) sanitize_text_field على بيانات إدخال المستخدم. ومع ذلك، فإن التصحيح لم يمنع تضمين الحمولات المحلية.

ثم كانت المحاولة الثانية مع الإصدار 5.0.4، الذي أضاف وظيفة (تصحيح اسم الملف) “sanitize_file_name”، وحاول إزالة الأحرف الخاصة، والنقاط، والشرطات وأي شيء يمكن استخدامه لتجاوز خطوة تصحيح النص.

وكان هذا هو الإصدار الذي اختبره باحثو Patchstack ووجدوا أنه ضعيف، لذلك أبلغوا المطور أن الإصلاح لم يخفف من المشكلة بما يكفي.

وفي النهاية، أطلق المطور الإصدار 5.0.5 الذي نفذ وظيفة “المسار الحقيقي” في PHP، مما يمنع حلول أسماء المسار الضارة.

التحديث والتخفيف

وبعد إطلاق الإصدار الأحدث في 28 كانون الثاني/ يناير المنصرم، بدأ مستخدمو المكون الإضافي بتثبيته، وقد بلغ عدد مرات تثبيتها حتى أمس الإثنين أكثر من 380,000 مرة، بحسب إحصاءات التنزيل من (ووردبرس).

وبالنظر إلى أن أكثر من مليون موقع (ووردبرس) يستخدم المكون الإضافي، فهذا يعني أن هناك أكثر من 600 ألف موقع لمّا يثبت التحديث الأمني حتى الآن لتصحيح الثغرة .

وإن كنت من بين الكثيرين الذين يستخدمون Essential Addons for Elementor، فيمكنك الحصول على الإصدار الأحدث من هنا، أو تطبيق التحديث مباشرةً من اللوحة الرئيسية في (ووردبرس).

ولمنع الجهات الفاعلة من الاستفادة من ثغرات تضمين الملفات المحلية حتى حينما لا يمكن التخفيف منها بصورة مباشرة، فيُنصح بحفظ مسارات الملفات في قاعدة بيانات آمنة وإعطاء معرف لكل ملف، وباستخدام ملفات allowlist التي تم التحقق منها والمضمونة وتجاهل كل شيء آخر.

كما يُنصح بعدم تضمين الملفات على خادم ويب يمكن اختراقه، ولكن استخدم قاعدة بيانات بدلًا من ذلك، بالإضافة إلى جعل الخادم يرسل رؤوس التنزيل تلقائيًا بدلًا من تنفيذ الملفات في دليل محدد.

كاتب المقال أحمد الخضر ينصح بقراءة ...

قراصنة تدعمهم الصين يستغلون ثغرة‎ Log4j ‎الخطرة في شن هجمات