أعلن موقع Sucuri المختص في أمن تطبيقات الويب وحمايتها عن اكتشاف ثغرة أمنية من نوع XSS في إضافة bbPress الخاصة بمنصة التدوين وردبرس WordPress.
ويستخدم هذه الإضافة أكثر من 300 ألف موقع إلكتروني يعدّ أبرزها منتدى الدعم الفني الخاص بمنصة التدوين WordPress.org، وتم اكتشاف الثغرة للمرة الأولى في 12 أبريل الماضي، وتم الإبلاغ عنها لفريق bbPress، إلى أن تم إطلاق تحديث أمني لإغلاقها في 2 مايو.
واستهدفت الثغرة نسخة bbPress 2.5.8 وماقبلها، ويمكن هذا النوع من الثغرات المهالجمين من زرع رمز برمجي خبيث يمكنه من الوصول إلى حسابات المستخدمين والتحكم بها.
التفاصيل التقنية لثغرة bbPress
تقوم الثغرة باستغلال وظيفة برمجية Function في الإضافة ومهمة هذه الوظيفة البرمجية هي تحويل الإشارات mentions إلى روابط Hyperlinks. ولكن في حال قيام أحد المستخدمين بإرسال رابط Hyperlink يحتوي على إشارة لأحد المستخدمين فإن الرابط النهائي سيكون معطوباً نظراً لوجود أكثر من علامة اقتباس مزدوجة، وبالتالي سيتيح للمستخدم تضمين أي رمز برمجي خبيث يمكنه من الوصول إلى حساب المستخدم المستهدف.
وينصح مطورو bbPress المستخدمين الذين يستعملون الإضافة بالتحقق من التحديث إلى النسخة رقم 2.5.9 التي تم إطلاقها يوم أمس.