مصدر شعار WooCommerce - WooCommerce
إذا سبق لك امتلاك موقع ويب للتجارة الإلكترونية ، فهناك احتمال بنسبة مئوية تقريبًا أنك سمعت عن WooCommerce ، المكون الإضافي الشهير لمواقع التجارة الإلكترونية. يعمل WooCommerce على تشغيل أكثر من 35 ٪ من مواقع التجارة الإلكترونية على الإنترنت ، ومع أكثر من 4 ملايين عملية تثبيت ، وهو أحد أكثر المكونات الإضافية الموثوقة للمستخدمين الذين يتطلعون إلى امتلاك متجر إلكتروني خاص بهم. إذا كنت من مستخدمي البرنامج المساعد WooCommerce ، فهناك بعض الأخبار المهمة التي يجب ألا تفوتها.
التقنيات
سيمون سكانيل ، باحث في RIPS Technologies GmbH ، اكتشف ثغرة أمنية في البرنامج المساعد (اعتمادات لـ هاكر نيوز للعثور على مدونة) ، والتي يقال يسمح للمستخدم ذي الامتيازات الضار أو المخترق بالتحكم الكامل في موقع الويب ، بشرط أن يستخدم الإصدار غير المصحح من المكون الإضافي. وصف الثغرة الأمنية في مدونة سيمون كالتالي:
يمكن أن يؤدي الخلل في الطريقة التي يتعامل بها WordPress مع الامتيازات إلى تصعيد الامتيازات في مكونات WordPress الإضافية. يؤثر هذا على سبيل المثال WooCommerce ، البرنامج الإضافي الأكثر شيوعًا للتجارة الإلكترونية مع أكثر من 4 ملايين عملية تثبيت. يسمح الضعف مديري المتاجر لحذف ملفات معينة على الخادم ثم تولي أي حساب مسؤول.
يكشف سايمون كذلك عن التفاصيل الفنية حول الثغرة في مدونته. يكشف كيف يسمح Wordpress تلقائيًا للحسابات باستخدام ' تحرير المستخدمين 'إذن لتحرير بيانات اعتماد حساب المسؤول أيضًا. لكن المكونات الإضافية مثل WooCommerce تتضمن إمكانات التعريف ، والتي يتم تنفيذها كوظائف ، والتي تحدد قيمتها المرتجعة ما إذا كان يمكن للمستخدم الحالي تنفيذ هذا الإجراء أم لا. هذا يمنع مديري المتجر من تحرير حسابات المسؤول.
الخلل
العيب الرئيسي للطريقة التي يتعامل بها Wordpress مع امتيازات الحساب هذه ، هو أن القدرات الوصفية للمكوِّن الإضافي المحدد يتم تنفيذها إذا وفقط إذا كان المكون الإضافي نشطًا. إذا تم تعطيل المكون الإضافي WooCommerce ، بأي حال من الأحوال ، فحينئذٍ يتم تعطيل جميع حسابات المستخدمين التي تحتوي على ' تحرير المستخدمين 'سيكون الإذن قادرًا على العبث بحسابات المسؤول أيضًا ، وبالتالي الاستيلاء على موقع الويب بالكامل.
على الرغم من أنه لا يمكن إلا للمسؤولين تعطيل المكونات الإضافية ، إلا أن ثغرة أمنية تعسفية في حذف الملفات في WooCommerce تتيح لمديري المتاجر حذف أي ملف على الخادم يمكن الكتابة عليه. يمكن استخدام مشكلة عدم الحصانة هذه لتعطيل WooCommerce نفسها ، وبالتالي التخلص من جميع القيود المفروضة على حساب مدير المتجر ، منذ ' بحذف الملف الرئيسي لـ WooCommerce ،woocommerce.php، لن يتمكن WordPress من تحميل المكون الإضافي ثم تعطيله 'كما يقول سايمون في مدونته.
الحل
في حين أن الضعف حرج للغاية ، إلا أن الخبر السار هو أنه كذلك مصححة في الإصدار 3.4.6 من WooCommerce ، الشهر الماضي. إذا كنت تستخدم WooCommerce في موقع الويب الخاص بك ، يوصى بشدة بتحديث البرنامج المساعد WooCommerce و Wordpress نفسه أيضًا ، للتأكد من التخلص من الثغرة الأمنية المذكورة أعلاه.
العلامات الأمان ووردبريس
![[FIX] Twitch Error Code 2FF31423 على Xbox One](https://jf-balio.pt/img/how-tos/17/twitch-error-code-2ff31423-xbox-one.png)
![[FIX] لوحة مفاتيح Ubuntu 20.04 LTS والماوس لا يعملان](https://jf-balio.pt/img/how-tos/83/ubuntu-20-04-lts-keyboard.png)
