حل مشكلة WP <= 6.1.1 - Unauthenticated Blind SSRF via DNS Rebinding

WP <= 6.1.1 - Unauthenticated Blind SSRF via DNS Rebinding

حل مشكلة WP <= 6.1.1 – Unauthenticated Blind SSRF via DNS Rebinding، هذه أحد حالات المشاكل التي واجهت الكثير من مستخدمي الوورد برس، وهي تتعلق باحدي مزايا الامان المهمة على الموقع، ونؤكد أنها مرتبطة بالمواقع التى تستخدم اضافة الجيت باك jetpack، ولغاية الأن تتم المراجعة من شركات الاستضافة والمبرمجين للوقوع على هذا الانذار الذي أعتبر من الكثير على انه انذار كاذب لغاية الآن.

حل مشكلة WP <= 6.1.1 – Unauthenticated Blind SSRF via DNS Rebinding

تتعلق هذه المشكلة بتأثر WordPress بـ SSRF الأعمى غير المصدق في ميزة pingback. بسبب حالة سباق TOCTOU بين عمليات التحقق من الصحة وطلب HTTP ، يمكن للمهاجمين الوصول إلى مضيفين داخليين ممنوع صراحةً، ومن خلال موقع الملهم قمنا بتتبع هذه الحالة من انذار في اعدادات الامان لمواقع الوورد برس.

كيفية حل مشكلة WP <= 6.1.1 – Unauthenticated Blind SSRF via DNS Rebinding

مع تحليل مشكلة WP <= 6.1.1 – Unauthenticated Blind SSRF via DNS Rebinding، اتضح انها مشكلة خاصة مع المواقع التى تستعمل اضافة  “plugin jetpack”، ومع تتبع حل لهذه المشكلة اتضح انها انذار ليس صادق بمعني الكلمة، ولكن التهديد المباشر لمثل هذه المشكلة هو كل من لا يستعمل اعدادات الأمان الاخري، هنا يمكن ان تسبب هذه المشكلة اختراق للموقع.

حل مشكلة WP 6.1.1 - Unauthenticated Blind SSRF via DNS Rebinding
حل مشكلة WP 6.1.1 – Unauthenticated Blind SSRF via DNS Rebinding

أمور مهمة يجب أخدها بعين الاعتبار وهي:

  • تفعيل شهادة الامان ssl من السي بانال.
  • مراجعة تحديث الاضافات plugin.
  • التأكد من عمل موقعك بخاصية https://.
  • تحديث نسخة الوورد برس 611.
  • تقديم طلب فحص لقاعدة البيانات الخاصة لموقعك من المضيف.

راجع الفيديو من هنا.

لذلك من اجل تلاشي المشكلات التى تنشأ من مشكلة WP <= 6.1.1 – Unauthenticated Blind SSRF via DNS Rebinding، يجب عليكم مراجعة اعدادات الامان من طرف الخادم المستضيف، والتاكد من تفعيل شهادة الأمان ssl، وخاصة تفعيل خاصية التصفح عبر “https://”، وسوف يكون لنا وقفة مع حل أكيد لهذه المشكلة، مع العلم انها مشكلة لا تنذر بالكثير من مشاكل الأمان اذا كان هناك تفعيل كامل للحماية لموقعك من الاستضافة وشهادات الأمان.

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى