هشدار! تغییر گذرواژه کاربران توسط هکرها

وردپرس محبوب‌ترین سیستم مدیریت محتوا (CMS) در جهان، با داشتن یک آسیب‌پذیری منطقی به هکر این امکان را می‌دهد که گذرواژه‏ کاربر را تغییر دهد.

ایسنا: وردپرس محبوب‌ترین سیستم مدیریت محتوا (CMS) در جهان، با داشتن یک آسیب‌پذیری منطقی به هکر این امکان را می‌دهد که گذرواژه‏ کاربر را تغییر دهد.

خطر این آسیب‏‌پذیری (CVE-۲۰۱۷-۸۲۹۵) زمانی مشخص می‏‌شود که بدانید همه نسخه‏‌های وردپرس حتی آخرین نسخه یعنی نسخه ۴.۷.۴ هنوز این آسیب‏‌پذیری رادارند.

این آسیب‌پذیری سال گذشته توسط یک محقق لهستانی در زمینه امنیت کشف و همان زمان به تیم امنیت وردپرس گزارش شد، اما تیم امنیتی وردپرس تصمیم گرفتند آن را نادیده بگیرند و میلیون‌ها وب‌سایت اینترنتی وردپرسی را آسیب‌پذیر نگه‌دارند.

براساس اطلاعات سایت ماهر، زمانی که یک کاربر با استفاده از گزینه‏ بازیابی گذرواژه، درخواست بازیابی گذرواژه را صادر می‏‌کند، وردپرس یک کد محرمانه تولید و آن را برای آدرس ایمیل کاربر (که در پایگاه داده ذخیره‌شده) ارسال می‏کند.

هنگام ارسال این ایمیل، وردپرس از یک متغیر به نام SERVER_NAME استفاده می‌کند تا نام‌هاست (Hostname) را به دست آورده و درجایی دیگر از آن استفاده کند (در قست From ایمیل یا همان نام سایت مبدأ ارسال‌کننده ایمیل).