کد خبر: ۴۸۸

دو آسیب‌پذیری خطرناک در وردپرس کشف شد؛ کاربران هرچه سریع‌تر سایت خود را به‌روزرسانی کنند

وصله

وردپرس دو آسیب‌پذیری امنیتی خطرناک با شناسه‌های CVE-2026-60137 و CVE-2026-63030 را برطرف کرد. نسخه‌های آسیب‌پذیر و راهکارهای به‌روزرسانی را بخوانید.

تیم توسعه وردپرس از انتشار یک به‌روزرسانی امنیتی مهم خبر داده است که دو آسیب‌پذیری با شدت بالا را برطرف می‌کند. این نقص‌های امنیتی که با شناسه‌های CVE-2026-60137 و CVE-2026-63030 ثبت شده‌اند، می‌توانند امنیت میلیون‌ها وب‌سایت مبتنی بر وردپرس را در معرض خطر قرار دهند. کارشناسان امنیت سایبری به مدیران وب‌سایت‌ها توصیه کرده‌اند در سریع‌ترین زمان ممکن نسخه وردپرس خود را به‌روزرسانی کنند.

جزئیات آسیب‌پذیری‌های جدید وردپرس

بر اساس اعلام تیم امنیتی وردپرس، نخستین آسیب‌پذیری با شناسه CVE-2026-60137 مربوط به یک نقص تزریق SQL (SQL Injection) است که توسط پژوهشگران امنیتی TF1T، dtro و haongo شناسایی و گزارش شده است. مهاجمان در برخی شرایط می‌توانند از این ضعف برای دسترسی غیرمجاز به اطلاعات پایگاه داده یا اجرای دستورات مخرب استفاده کنند.

دومین آسیب‌پذیری با شناسه CVE-2026-63030 از اهمیت بیشتری برخوردار است. این نقص از ترکیب یک مشکل در REST API و آسیب‌پذیری تزریق SQL ایجاد شده و در شرایط خاص می‌تواند به اجرای کد از راه دور (Remote Code Execution یا RCE) منجر شود. چنین حمله‌ای این امکان را به مهاجم می‌دهد که کنترل کامل وب‌سایت را در اختیار بگیرد و کدهای مخرب روی سرور اجرا کند.

کدام نسخه‌های وردپرس آسیب‌پذیر هستند؟

بررسی‌های انجام‌شده نشان می‌دهد نسخه 6.9 وردپرس در برابر هر دو آسیب‌پذیری آسیب‌پذیر است و برای رفع این مشکلات نسخه 6.9.5 منتشر شده است.

همچنین نسخه 6.8 تنها تحت تأثیر آسیب‌پذیری نخست قرار دارد و کاربران باید سایت خود را به نسخه 6.8.6 ارتقا دهند.

نسخه آزمایشی WordPress 7.1 Beta نیز شامل هر دو آسیب‌پذیری بوده و توسعه‌دهندگان با انتشار Beta 2 این مشکلات را برطرف کرده‌اند. طبق اعلام تیم وردپرس، نسخه‌های قدیمی‌تر از 6.8 تحت تأثیر این دو نقص امنیتی قرار ندارند.

اگر امکان به‌روزرسانی ندارید چه باید کرد؟

پژوهشگران امنیتی Searchlight Cyber اعلام کرده‌اند در صورتی که امکان نصب فوری نسخه جدید وجود ندارد، مدیران وب‌سایت‌ها می‌توانند به‌صورت موقت دسترسی ناشناس به Batch API را مسدود کنند.

این کار از طریق نصب افزونه‌هایی که دسترسی عمومی به REST API را غیرفعال می‌کنند یا مسدود کردن مسیرهای /wp-json/batch/v1 و ?rest_route=/batch/v1 در سطح فایروال برنامه‌های وب (WAF) امکان‌پذیر است.

البته کارشناسان تأکید می‌کنند این اقدامات تنها راهکارهای موقتی هستند و ممکن است برخی قابلیت‌های عادی وب‌سایت را نیز تحت تأثیر قرار دهند. بنابراین بهترین راهکار، نصب نسخه‌های امنیتی جدید وردپرس در اولین فرصت است.

توصیه به مدیران وب‌سایت‌ها

وردپرس محبوب‌ترین سیستم مدیریت محتوای جهان است و میلیون‌ها وب‌سایت از آن استفاده می‌کنند. به همین دلیل، هر آسیب‌پذیری امنیتی در این پلتفرم می‌تواند به هدفی جذاب برای مهاجمان سایبری تبدیل شود. کارشناسان امنیت توصیه می‌کنند علاوه بر به‌روزرسانی هسته وردپرس، افزونه‌ها و قالب‌های نصب‌شده نیز همواره به آخرین نسخه ارتقا داده شوند. همچنین استفاده از فایروال، تهیه نسخه پشتیبان منظم و فعال‌سازی احراز هویت دومرحله‌ای می‌تواند نقش مهمی در افزایش امنیت وب‌سایت‌ها داشته باشد.

با توجه به شدت این آسیب‌پذیری‌ها و احتمال سوءاستفاده مهاجمان، مدیران وب‌سایت‌ها نباید به‌روزرسانی امنیتی جدید وردپرس را به تعویق بیندازند. نصب نسخه‌های اصلاح‌شده در کوتاه‌ترین زمان، مؤثرترین راه برای جلوگیری از حملات احتمالی و حفظ امنیت اطلاعات کاربران خواهد بود.

گزارش خطا
ارسال پیام
captcha
پیشنهاد سردبیر بیشتر
خانه پربازدید پربحث