مكتبة الشروحات

حدد فريق تهديد الاستخبارات الخاص بنا مؤخرًا ثغرة أمنية في إعادةما التوجيه في Bridge ، وهو موضوع ورد في WordPress تم شراؤه أكثر من 120،000 مرة. لقد كشفنا عن هذه المشكلة لـ Qode Interactive ، مطوري السمة ، الذين أصدروا منذ ذلك الحين تصحيحًا للمكونات المتأثرة.

كان الاكتشاف الأولي مرتبطًا بواحد من مكونات المساعد المعبأة مسبقًا للسمة ، Qode Instagram Widget. بعد الاكتشاف ، قام فريق Qode بتصحيح عيب إعادة توجيه مفتوح مماثل في مكون إضافي معبأ مسبقًا ، Qode Twitter Feed. يجب تحديث كل من هذه المكونات الإضافية إلى أحدث إصدار ، وهو 2.0.2 في كلتا الحالتين في وقت كتابة هذا التقرير. يمكن الوصول إلى هذه التحديثات من داخل مدير البرنامج الإضافي الموصى به في Theme Bridge بمجرد تحديث السمة إلى 18.2.1.

لقد أصدرنا قواعد جديدة لجدار الحماية تحمي مواقع مستخدمي Wordfence من إساءة استخدام عمليات إعادة التوجيه المفتوحة هذه. يمتلك مستخدمو Wordfence Premium حق الوصول إلى هذه القواعد ، وسيتمكن المستخدمون الذين ما زالوا في الإصدار المجاني من الدخول خلال ثلاثين يومًا.

في منشور اليوم ، سوف نلقي نظرة على نقاط الضعف التي تم تصحيحها ، وسنناقش بإيجاز خطر ظهور مشكلة عدم حصانة إعادة توجيه مفتوحة. يمكن أن يختلف تحديث مهام سير العمل وفقًا للسمات التجارية والإضافات مثل هذه ، لذلك سنوفر أيضًا دليلًا قصيرًا لمساعدة مستخدمي Bridge على ضمان تحديثهم.

ما هو إعادة توجيه مفتوحة؟

توجد ثغرة أمنية في إعادة التوجيه المفتوحة عندما يمكن إجراء تطبيق ويب لإعادة توجيه الزائر إلى موقع تعسفي بناءً على إدخال المستخدم. يمكن استخدام هذا لإنشاء روابط ويب ذات مظهر بريء إلى مجالات شرعية ، والتي تقوم بعد ذلك بإعادة توجيه الضحية إلى موقع خطير. يستخدم هذا بشكل شائع في عمليات الاحتيال ، حيث من المرجح أن يتم النقر فوق ارتباط إلى موقع موثوق به أكثر من مجال التصيد العادي

مثال كلاسيكى لهذا النوع من العيوب كما يلى:

$redirect_url = $_GET['url'];
header("Location: " . $redirect_url);

 في المثال أعلاه ، يمكن إرسال الضحية رابطًا إلى https://legitimatesite.com/redirect.php؟url=https://evilsite.com، مرر مؤشر الماوس فوق الرابط لتأكيد مجال تشريع الموقع ،
 انقر فوقه ، وسيتم نقلك إلى evilsite.com  دون إذن منهم.

في نظام WordPress البيئي ، يمكن استخدام ذلك في هجمات الرمح
 ضد مسؤولي الموقع. يمكن أن يتلقى المسؤول رابطًا
 إلى موقع الويب الخاص به وينقل إلى صفحة تسجيل
 الدخول إلى WordPress ، دون معرفة أنه قد تم إعادة توجيههم إلى موقع 
تصيد تم إنشاؤه لاستخراج بيانات الاعتماد الخاصة بهم.إعادة توجيه النصوص في الإضافات المعبأة مسبقاً عند التثبيت ، يطالبك سمة Bridge 
المستخدمين بتثبيت عدد من المكونات الإضافية المعبأة مسبقًا. يحتوي اثنان من هذه المكونات الإضافية 
، Qode Instagram Widget و Qode Twitter Feed، على نصوص إعادة توجيه تسمح بإعادة التوجيه المفتوحة
بالنسبة إلى Qode Instagram Widget ، يمكن العثور على النص التالي على  lib/instagram-redirect.php:   

<?php
 
if(!empty($_GET['redirect_uri']) && !empty($_GET['code'])) {
    $glue = strstr($_GET['redirect_uri'], '?') ? '&' : '?';
    header('Location: '.($_GET['redirect_uri'].$glue.'code='.$_GET['code']));
}

يأخذ هذا الرمز معلمات GET redirect_uri والرمز ، ويجمعها في موقع
 إعادة توجيه نهائي.
الكود في Qode Twitter Feed متطابق تقريبًا. يمكن العثور على
 التالي على lib / twitter-redirect.php:

<?php
 
if(!empty($_GET['redirect_url']) && !empty($_GET['oauth_token']) && !empty($_GET['oauth_verifier'])) {
    $glue = strstr($_GET['redirect_url'], '?') ? '&' : '?';
    header('Location: '.($_GET['redirect_url'].$glue.'oauth_token='.$_GET['oauth_token']).'&oauth_verifier='.$_GET['oauth_verifier']);
}

لا يتم احتساب تبادل "URI" و "URL" في أسماء المتغيرات ، الاختلافات الوحيدة هي معلمات GET الإضافية المطلوبة

لتشغيل إعادة التوجيه. عند الكشف ، استجابت

Qode Interactive أن هذه البرامج النصية كانت موجودة فقط للأغراض التجريبية ، وتمت إزالتها بالكامل من الإصدارات المرقعة من الإضافات.

كيف يمكنني تصحيح؟ غالبًا ما تحتوي سمات ووردبريس التجارية على سير عمل للتحديث يختلف عن تلك الأصلية إلى مستودع

WordPress.org. في حالة سمة Bridge والإضافات المرتبطة بها ، يبدو أن العديد من المستخدمين لا يحصلون على التحديثات التي يحتاجون إليها. وفقًا لبياناتنا ، لم يتم تحديث 38٪ من عمليات تثبيت Qode Instagram Widget النشطة منذ أكثر من عامين ، ويقفز هذا الرقم إلى 68٪ لمستخدمي

Qode Twitter Feed. يتطلب تحديث هذه المكونات الإضافية أولاً للمستخدمين تحديث سمة Bridge. يتم ذلك إما عن

طريق تنزيل وتثبيت نسخة محدثة من السمة يدويًا من ThemeForest ، أو عن طريق استخدام ملحق Envato Market الذي يأتي أيضًا مرفقًا مع السمة Bridge للتحديث من داخل لوحة معلومات WordPress.

بمجرد إنشاء اتصال API ، يمكن تحديث السمة. لسوء الحظ ، لم يتم توضيح 
الحاجة إلى التحديث بشكل خاص من معظم لوحة المعلومات ، حيث إنها
 لا تتفاعل مع نظام الإشعارات المدمجة في التحديث الخاص بـ WordPress.
 بدلاً من ذلك ، سترى التحديث متاحًا داخل محدد السمة 
(المظهر -> السمات) ، أو داخل علامة التبويب "السمات" في صفحة خيارات
 سوق Envato.

مجرد تحديث Bridge ، قد يشاهد المستخدمون إخطارًا مزعجًا يخبرهم أن 
الإضافات المدمجة الخاصة بهم بحاجة إلى تحديث ، لكن إذا تجاهلوها
 أو رفضوها ، فلن يكون هناك دليل مستمر على توفر تحديث.
 إذا فتح المستخدمون صفحة الإضافات الخاصة بهم ،
 فلن يروا إشعار تحديث نموذجي. ومع ذلك ، ستُظهر إدخالات المكون
 الإضافي الفردية رابط "التحديث مطلوب".

إصلاح على المدى القصير: حذف البرامج النصية

في حالة عدم إمكانية تحديث سمة Bridge لموقعك على الفور ، مثل 
الحالات التي قام فيها مطور لمرة واحدة بتثبيته قبل أن يختفي 
في مهب الريح ، فمن السهل حل مشكلات الأمان الموجودة في هذه الإضافات
 دون تحديث أي شيء آخر.

نظرًا لأن الملفات الضعيفة لا تُستخدم فعليًا أو يُشار إليها في المكونات 
الإضافية نفسها ، يمكن للمستخدمين ببساطة
 حذف instagram-redirect.php و twitter-redirect.php من مواقعهم دون التسبب 
في أي مشاكل. على الرغم من أنه لا يزال من الموصى به دائمًا
 أن يقوم المستخدمون بتحديث السمات والإضافات الخاصة بهم ، 
فإن إزالة هذه الملفات سيظل يخفف من مخاوف الأمان في الوقت الحالي.