این آسیبپذیری از آنجا نشات میگیرد که این افزونه دادههای ذخیرهشده توسط خود را از لحاظ وجود اسکریپتها مخرب و حذف آنها (Sanitizing) بررسی نکرده و در نتیجه مهاجم میتواند با تزریق اسکریپتهای مخرب به این دادهها، افزونه را به اجرای آنها وادار کند.
برخی از نسخههای افزونهی محبوب WP Super Cache سامانهی مدیریت محتوای وردپرس دچار یک آسیبپذیری XSS هستند.
به گزارش تکنـــــــــــــــازدانلود: به نقل از asis.io , این آسیبپذیری – که اکنون در نسخهی جدید مرتفع شده – وبگاههای آسیبپذیر را در معرض خطر قرار داده و کنترل کامل آنها را به مهاجم میدهد. پس از حملهی موفق، مهاجمین میتوانند در وبگاه قربانی اقدام به نصب اسکریپتهای مخرب، درهای پشتی و … نمایند.
افزونهی WP Super Cache بر اساس آمار موجود در وبگاه وردپرس بیش از یک میلیون بار نصب شده است.
مهاجم با استفاده از این آسیبپذیری میتواند اسکریپتهایی را در صفحهی فهرست پروندههای کششدهی این افزونه تزریق کند. پس از این مرحله مهاجم باید منتظر بماند مدیر وبگاه، خود مستقیما از صفحهی فهرست کش بازدید کند تا این اسکریپت اجرا شود.
این آسیبپذیری از آنجا نشات میگیرد که این افزونه دادههای ذخیرهشده توسط خود را از لحاظ وجود اسکریپتها مخرب و حذف آنها (Sanitizing) بررسی نکرده و در نتیجه مهاجم میتواند با تزریق اسکریپتهای مخرب به این دادهها، افزونه را به اجرای آنها وادار کند.
پس از انتشار اخبار این آسیبپذیری، سازندهی این افزونه نسخهی جدیدی (۱٫۴٫۴) از آن را ارائه نموده است. در صورتی که از این افزونه استفاده میکنید، اکیدا توصیه میکنیم با مراجعه به آدرس زیر میتوانید نسبت به دریافت آخرین نسخهی آن اقدام نمایید:
https://wordpress.org/plugins/wp-super-cache