در روز اخیر وجود یک باگ امنیتی در پلاگین wp-shamsi (افزونه رایگان تاریخ شمسی و فارسی ساز وردپرس، تاریخ های وردپرس را به هجری شمسی براساس تقویم ایران تبدیل می کند.) توسط واحد فنی ژاکت شناسایی گردید که وجود این باگ به کاربران تازه ثبتنام کرده مجوز دسترسی حذف فایل مدیاهای وبسایت را میداده است!
به نقل از مدیر فنی ژاکت درباره نحوه اثرگذاری مخرب باگ موجود در این پلاگین، اینطور بیان شد که: وقتی وبسایت شما امکان ثبت نام کاربر را داشته باشد و این کاربرهیچ دسترسی خاصی نداشته و صرفا ثبت نام را انجام میدهد.
و در صورتی که بعد از ثبت نام اگر شما در وبسایتتان پلاگین wp-shamsi را نصب داشته باشید، کاربر جدید میتواند به سایت شما دستور بدهد که فایلهای مدیا پاک شوند و در نتیجه فایلهای سایت شما با دستور کاربری که دسترسی خاصی ندارد به راحتی پاک خواهد شد!
در ادامه مدیر فنی ژاکت در تکمیل توضیحات خود این مورد را بیان کردند:
در واقع مشکل به وجود آمده بدین صورت هست که در دو مورد از فرآیندهای ایجکس این پلاگین، مجوز کاربرها چک نشده و دسترسی (permission) کامل برای حذف مدیاها به کاربر ساده داده شده است.
هماکنون این باگ با برطرف کردن اشکالات و فرآیندهای ذکر شده و ارائه نسخه بهروز رسانی شده پلاگین wp-shamsi توسط واحد فنی ژاکت برطرف گردیده است.
برای دانلود نسخه بهروزرسانی شده پلاگین wp-shamsi بر روی این لینک کلیک کنید.
تحریریه ژاکت
مشاهده تیم تحریریه
ممنون از وب سایت ژاکت که این باگ رو برطرف کرد. چون واقعا این افزونه از بقیه خیلی بهتر کار میکنه و نگرانی ما رو کم کرد این اصلاح کدهای افزونه
سلام وقت بخیر
چه افزونه شمسی سازی پیشنهاد میدید؟
اکثرا یا بروز نیستن یا باگ امنیتی و مشکل دارن. عجیبه جامعه به این بزرگی وردپرس فارسی و این مارکت های بزرگ از چیز به این مهمی غفلت کردن
سلام و سپاس از تیم فنی ژاکت
لطفا به توسعه دهنده اطلاع بدید که در مخزن ورپرس به روز کنند تا کاربرهای کمتری تحت شعاع این مشکل قرار بگیرند.