هکرها طی چند روز گذشته یکی از نقاط آسیبپذیر وصله نشده مربوط به افزونه WP Mobile Detector در سیستم WordPress را که روی بیش از ۱۰ هزار سایت اینترنتی نصب شده بود، مورد هدف قرار دادند.
به گزارش ایتنا به نقل از وبسایت pcworld، شرکت تولیدکننده این افزونه نرمافزاری با عرضه نسخه ۳.۶ آن روز گذشته سعی کرد مشکل پیش آمده را برطرف کند. ولی مدیران IT برای آنکه بهروزرسانی مذکور را به سرعت در اختیار بگیرند باید بررسی کنند که سایت اینترنتی آنها هنوز هک نشده باشد.
این آسیبپذیری در یک اسکریپت ویژه با نام resize.php قرار گرفته است و به هکرها امکان میدهد از راه دور فایلهای مورد نظر خود را روی سرورهای وب نصب کنند. این فایلها میتوانند در قالب اسکریپتهای مربوط به درهای مخفی که با نام پوسته وب شناخته میشوند مورد استفاده قرار گیرند و به هکرها امکان دهد تا وارد سرورها شوند و کدهای مورد نظر خود را در صفحههای قانونی و درست اینترنتی تزریق کنند.
این آسیبپذیری در سیستم مدیریت سایتهای اینترنتی WordPress را مرکز PluginVulnerabilities.com شناسایی کرد. در این بررسی مشخص شد یک هکر بیرونی موفق شده است با استفاده از سیستم اسکن خودکار در سرور فایلها مورد نظر خود را در اختیار بگیرد.
کارشناسان مرکز امنیتی Sucuri اعلام کردند که فایروال آنها از تاریخ ۲۷ مه ۲۰۱۶ یعنی چهار روز پیش از آنکه وصله امنیتی عرضه شود، این آسیبپذیری را شناسایی کرده است.
