نسخه پنجم وردپرس آسیب پذیر برای ماه جولای با 142 پلاگین و 179 آسیب پذیری منتشر شد. اغلب آسیب پذیری ها از نوع : XSS و Missing Authorization هستن.
نکات کلی
- این نسخه ها ، آسیب پذیر هستن و در نتیجه بالا آوردن اونا در محیط های حساس میتونه خطر هک توسط سایر هکرها رو داشته باشه.
- پلاگین ها براساس نسخه آسیب پذیر جمع آوری و نصب شدن، در نتیجه اونا رو بروز نکنید.
- پلاگین ها براساس گزارشات Wordfence بصورت ماهانه جمع آوری و روی یک وردپرس بصورت پیش فرض نصب میشن.
- به دلیل امکان تداخل پلاگینها و در نتیجه اختلال در وردپرس، پلاگینها فقط نصب شدن . در نتیجه اگه روی آسیب پذیری خاصی کار می کنید ، اونو فعال کنید.
- پلاگینها فقط شامل مواردی هستن که امکان دانلود از طریق WordPress.org داشته باشن. در گزارشات Wordfence نمونه هایی بودن که، تنها از طریق سایت شرکت توسعه دهنده قابل دسترس هستن و همچنین یسری پلاگین بودن که wordpress.org برای اونا نوشته بود که دیگه توسعه داده نمیشن و دانلود براشون دیگه بسته شده بود. هر دو این پلاگینها از لیست ما هم حذف شدن. در نتیجه احیانا آسیب پذیری بود که در لیست ما نبود، شاید شامل این موارد باشه.
آموزش نصب :
نصب این نسخه ساده هستش. فقط کافیه دانلودش کنید و از حالت فشرده خارج کرده و فایل installer.php رو اجرا کنید. برای تکمیل فرایند نصب نیاز به دیتابیس و کاربر دیتابیس دارید. نصب هم یکمی زمانبر میتونه باشه. نیاز به اینترنت هم نداره و در نتیجه خیلی شیک و مجلسی میتونید روی یه VM بالا بیاریدش و روش کار کنید.
در ادامه میتونید ویدیو نصب روی ویندوز و لینوکس مشاهده کنید. برای ویندوز از wamp استفاده شده و برای لینوکس کالی از xampp استفاده شده.
آموزش نصب روی لینوکس کالی با استفاده از برنامه xampp : ( مشاهده در یوتیوب)
آموزش نصب روی ویندوز با استفاده از برنامه Wamp : ( مشاهده در یوتیوب)
اطلاعات مربوط به نسخه جولای 2023 (دریاچه ارومیه) :
پنجمین نسخه از وردپرس آسیب پذیر رو با نام دریاچه ارومیه منتشر کردیم که این روزها اصلا حال خوبی نداره. جزییات فنی این نسخه :
- این نسخه روی وردپرس 6.2.2 هستش.
- شامل 142 پلاگین (آسیب پذیر و بدون آسیب پذیر) هستش.
- پلاگینها، 179 آسیب پذیری رو شامل میشن که میتونید لیستش رو از اینجا مشاهده کنید.
- یه آسیب پذیری Reflected XSS در Freemius SDK پیدا شده که منجر به تحت تاثیر گذاشتن روی بیش از 1000 پلاگین شده. با توجه به اینکه امکان دریافت و نصب همه این پلاگین ها امکانپذیر نبود، بنابراین این مجموعه پلاگین، در این نسخه ارائه نشده(چند مورد). لیست کامل پلاگین های آسیب پذیر تحت تاثیر Freemius SDK رو میتونید اینجا ببینید. تحلیل این آسیب پذیری رو هم میتونید اینجا ببینید.
- نام کاربری و پسورد برای ورود به وردپرس :
|
1 2 |
onhexgroup jidCy(SbEz!25qyjTx |
هش های این نسخه :
|
1 2 3 4 5 |
- Hash Vulnerable WordPress July 2023.zip : F5FF1C82966E84F43EB8F9D65DFBDF7E6FDB726CD51E0681D169462773F754F3 - Hash installer.php : 064A34A8A097D6C8089508BFF091A40930DF881257F43C9FCAF8F14464700D30 - Hash Vulnerable_WordPress_July_2023_6c2fbb83d5e8a4eb2575_20230805171118_archive.zip : 2D24BF649CDA41DCF019E4C3916AE1DDFFB2522A703B759DF161DC3472D89CB9 - Hash Vuln_plugins_July_2023.xlsx : 095CD2EF11765A5FE5C78009D695D3E6FA61CB0633A822097050B3B2DF6F5148 - Hash Freemius SDK.txt : 675F1DD1F4DFE0F6D58A4A07D95D75C2F585E3DAD2C3CF10FAB8A09E0870FBD4 |
صفحه گیتهاب پروژه رو میتونید از اینجا مشاهده کنید.
نسخه جولای 2023 (دریاچه ارومیه) رو می تونید از گیتهاب یا گوگل درایو دانلود کنید.
تصاویر از این نسخه :
