امکان هک گذرواژه کاربران سایت‌های وردپرسی

خبرگزاری مهر: مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای هشدار داد که هکرها می‌توانند گذر واژه کاربران سایت‌هایی که با وردپرس نوشته شده ‌اند را تغییر دهند. مرکز ماهر اعلام کرد: وردپرس محبوب‌ترین سیستم مدیریت محتوا (CMS) در جهان، با داشتن یک آسیب‌پذیری منطقی به هکر این امکان را می‌دهد که گذرواژه‌ کاربر را تغییر دهد. خطر این آسیب ‌پذیری (CVE-۲۰۱۷-۸۲۹۵) زمانی مشخص می‌شود که بدانید همه نسخه‌‌های وردپرس حتی آخرین نسخه یعنی نسخه ۴.۷.۴ هنوز این آسیب‌ پذیری را دارند. این آسیب پذیری سال گذشته از سوی یک محقق لهستانی در زمینه امنیت به نامDavid Golunski کشف شد و همان زمان به تیم امنیت وردپرس گزارش شد، اما تیم امنیتی وردپرس تصمیم گرفتند آن را نادیده بگیرند و میلیون‌ها وب‌سایت اینترنتی وردپرسی را آسیب‌پذیر نگه دارند. زمانی که یک کاربر با استفاده از گزینه‌ بازیابی گذرواژه، درخواست بازیابی گذرواژه را صادر می‌کند، وردپرس یک کد محرمانه تولید و آن را برای آدرس ایمیل کاربر (که در پایگاه داده ذخیره شده) ارسال می‌کند. هنگام ارسال این ایمیل، وردپرس از یک متغیر به نام SERVER_NAME استفاده می‌کند تا نام‌هاست (Hostname) را به دست آورده و در جایی دیگر مانند قسمت From ایمیل یا همان نام سایت مبدأ ارسال‌کننده ایمیل از آن استفاده کند. در این قسمت امکان دسترسی و تغییر گذرواژه وجود دارد.