يقول باحثو الأمن إن المتسللين يستغلون بفاعلية نقطتين من نقاط الضعف في سمة Houzez ومكوِّن إضافي آخر في منصة إدارة محتوى WordPress ، وهما مكونان إضافيان مميزان تستخدمهما مواقع الويب العقارية بشكل أساسي.
سمة (Hoozies) هي إضافة مميزة بسعر 69 دولارًا توفر إدارة قائمة سهلة وخدمة عملاء سلسة، يدعي المطور الإضافي أنه يخدم أكثر من 35000 عميل عقاري.
تم اكتشاف الثغرتين من قبل باحث التهديد في Patchstack Dave Jung ، الذي أبلغ عن أول ثغرة أمنية تم إصلاحها في الإصدار 2.6.4 ، والتي تم إصدارها في أغسطس الماضي لمورد البرنامج المساعد ThemeForset ، وقد تم الإبلاغ عن ثغرات أمنية ثابتة أخرى في نوفمبر 2022.
ومع ذلك ، يحذر تقرير Patchstack من أن بعض مواقع الويب لم تنفذ بعد التحديث الأمني ، مما يسمح للمهاجمين باستغلال ثغرات أمنية بشكل فعال.
(باشستاك) يقول: "يتم حاليًا استغلال ثغرات الموضوع والامتداد ، وفي وقت كتابة التقرير ، شهدنا العديد من الهجمات من عنوان بروتوكول الإنترنت 103.167.93.138."
الثغرة الأولى (Hawzis) ، التي تم تتبعها باستخدام المعرّف CVE-2023-26540 ، حصلت على درجة خطورة تبلغ 9.8 من 10 في معيار CVSS 3.1 ، مما يجعلها ثغرة خطيرة للغاية، ثغرة أخرى تم تتبعها باستخدام المعرف CVE-2023-26009 لها أيضًا درجة خطورة تبلغ 9.8 من 10.
أخبر ديف BleepingComputer أن المهاجمين استغلوا هذه الثغرات الأمنية عن طريق إرسال طلبات إلى نقطة النهاية المسؤولة عن الاستجابة لطلبات إنشاء الحساب.
نظرًا لوجود أخطاء في التحقق من صحة الخادم ، يمكن أن يُطلب من الموقع إنشاء مستخدم مسؤول ، مما يمنح المهاجم السيطرة الكاملة على موقع WordPress.
في الهجمات التي لاحظها Patchstack ، قام المهاجمون بتثبيت أبواب خلفية يمكنها تنفيذ الأوامر ، وضخ الإعلانات في مواقع الويب ، وإعادة توجيه حركة المرور إلى مواقع ضارة أخرى.
لسوء الحظ ، أفاد PatchStack بأن كلا الثغرات الأمنية يتم استغلالها حاليًا ، لذلك يجب على مالكي مواقع الويب والمسؤولين جعل تطبيق التصحيحات المتاحة أولوية قصوى.
إرسال تعليق