ناامن ترین کلمات عبور در انگلیس اعلام شد

ستاد ارتباطات دولت انگلیس فهرستی از کلمات عبور ناایمن در فضای مجازی که استفاده از آنها می‌تواند امنیت و حریم شخصی کاربران را به طور جدی به خطر بیندازد، اعلام کرد.
 
 
 به نقل از یاهونیوز، ستاد ارتباطات دولت انگلیس با صدور اطلاعیه ای به کاربران اینترنت در انگلیس هشدار داد که استفاده از کلماتی همچون لیورپول و سوپرمن به عنوان رمز عبور رایانه ای می تواند افراد را به صورت جدی در معرض خطر هک شدن قرار دهد زیرا حدس زدن این کلمات توسط هکرها کار دشواری نیست.
 
 
این ستاد هشدار داده که کلمه عبور نزدیک به نیم میلیون نفر از افرادی که طی یک سال گذشته در انگلیس هک شده اند این دو کلمه بوده است. از سوی دیگر باید توجه داشت که هکرها کلمه های عبور هک شده را با یکدیگر به اشتراک می گذارند و برای نفوذ به رایانه ها و سرویس های اینترنتی قبل از هر چیز کلمات عبور پرکاربرد را آزمایش می کنند.
 
ستاد مذکور اعلام کرده که هنوز دو کلمه عبور 123456 و password در میان کاربران اینترنت بسیار پرکاربرد هستند و ضروری است استفاده از این دو کلمه عبور برای حفظ امنیت کاربران کاهش یابد.
 
بررسی های مرکز ملی امنیت سایبری انگلیس در سال 2019 نشان می دهد در شرایطی که اکثر انگلیسی ها نگران این هستند که به یکی از قربانیان حملات سایبری مبدل شوند، در عمل تنها یک سوم آنها می دانند که چگونه باید از خودشان در برابر این حملات حفاظت کنند. ضعف آموزش در حوزه امنیت سایبری یکی از مشکلات اساسی در انگلیس محسوب می شود.

آسیب پذیری سرویس SSL VPN در فایروال های CYBEROAM به شماره CVE-2019-17059

یک #‫آسیب‌پذیری حیاتی در کنسول مدیریت و SSL VPNتجهیزات UTMشرکت سایبروم گزارش شده است. درصورت حمله موفق، حمله کننده دسترسی با سطح rootرا بدست خواهد آورد. با توجه به قرارگیری سرویس‌دهنده‌های VPNاز جمله سرویس SSL VPNدر تجهیزات UTMبر بسترشبکه اینترنت جهت برقراری دسترسی از راه دور به شبکه داخلی، این نوع آسیب‌پذیری می تواند بسیار خطرناک باشد.
 
تمامی فایروال‌های سوفوس با سیستم عامل CROS 10.6.6 MR-5 و قبل از آن آسیب‌پذیر می باشند. جهت رفع آسیب پذیری بروزرسانی دستگاه ضروری است.

ارائه سرویس های امنیتی حوزه فناوری اطلاعات در آزمایشگاه پژوهشکده امنیت

 
رییس اداره آزمایشگاه امنیت پژوهشکده امنیت پژوهشگاه ICT از ارائه خدمات و سرویس‌های امنیتی تخصصي در حوزه فناوری اطلاعات (IT) و در حوزه صنعت فناوری عامل (OT ) در این آزمایشگاه خبر داد.
 افشین سوزنی در خصوص فعالیت‌های در حال انجام در آزمایشگاه امنیت پژوهشگاه ICT گفت: این آزمایشگاه به عنوان آزمايشگاه مرجع در حوزه امنيت كشور، با اخذ تاييديه از مراكز ذي‌صلاح، مركز راهبردي افتا و سازمان فناوري اطلاعات ايران، خدمات و سرویس‌های امنیتی را به متقاضيان ارائه مي‌کند.
 
وی در خصوص اهداف و ماموريت آزمايشگاه اظهار کرد: دستيابي به اهداف تعيين شده در برنامه توسعه كشور، رسيدن به اقتصاد دانش‌بنيان در حوزه ارزيابي امنيتي، پرورش نيروي متخصص و كارآمد در حوزه امنيت و ارائه خدمات امنيتي جهت رشد و توسعه امنيت در كشور را از اهداف و ماموريت‌هاي آزمايشگاه برشمرد.
 
سوزنی با ارائه مصادیقی در این خصوص افزود: این آزمایشگاه با دارا بودن زيرساخت‌هاي لازم و پرسنل متخصص، براي مراكز دولتي، شركت‌هاي خصوصي و دانشگاه‌ها خدمات امنيتي را ارائه مي‌کند و قابلیت ارزیابی سامانه‌هاي كاربردي تحت وب و تجهيزات امنيتي مختلف شبكه مانند  UTM، Firewall.، SIEM، Switch   و... را دارا است.
 
وی اظهار کرد: در کنار اين خدمات و سرويس‌هاي امنيتي و ارزیابی برنامك‌هاي موبایل، ارزيابي عملكرد امنيت محصولات و تجهيزات نظارت تصويري و ارزيابي سامانه‌هاي هوشمند (صيانت فرهنگي/اجتماعي) نيز در آزمايشگاه امنيت پژوهشگاه به متقاضيان دريافت خدمت ارائه مي‌شود.
 
رییس اداره آزمایشگاه امنیت ICT در ادامه اين گزارش اعلام کرد: بخش ديگر فعاليت آزمايشگاه امنیت ارائه خدمات ارزيابي و مشاوره تخصصي در حوزه OT است.
 
سوزنی گفت: بيش از ۱۰ سال است كه پژوهشكده امنيت در اين حوزه فعاليت‌هاي خود را شروع کرده است و با توجه به تخصص و تجربه كسب شده در اين زمينه هم‌اكنون آماده ارائه خدمات مشاوره و ارائه خدمات و سرويس هاي ارزيابي امنيتي در حوزه صنعت OT است.  
 
رییس اداره آزمایشگاه امنیت پژوهشکده امنیت پژوهشگاه ICT تاکید کرد: آزمایشگاه ارزيابي امنيت تجهيزات و سامانه‌هاي كنترل صنعتي برای نخستین بار در كشور و با حمايت سازمان فناوري اطلاعات ايران در پژوهشگاه ارتباطات و فناوري اطلاعات راه‌اندازي شده است.  
 
سوزنی گفت: اين آزمايشگاه در راستاي چارچوب و ضوابط اعلامي از سوي مركز مديريت راهبردي افتا، پروفايل هاي حفاظتي و سند آزمون براي محصولات امنيت در حوزه صنعت توسط پژوهشكده امنيت عمل مي‌کند، بنابراين این امیدواری وجود دارد که در ۶ ماهه دوم سال جاري، تائیدیه ارائه خدمات از مراکز ذی صلاح در اين خصوص اخذ شده و خدمات مربوط به آن ارائه شود.
 
وی در ادامه اظهارات خود از ارائه خدمات آموزش و مشاوره در آزمایشگاه امنیت خبر داد و گفت: در راستاي ماموريت پژوهشكده امنيت و پیرو تفاهم نامه‌های منعقد شده از طرف پژوهشگاه با ديگر مجموعه‌ها، آزمايشگاه امنيت در برگزاري دوره‌هاي آموزشی تخصصي امنيت، ارائه مشاوره و ارائه خدمات و سرويس‌هاي امنيتي همكاري و فعاليت مي‌کند.
 
سوزنی همچنین به برخی از دستاوردها و افتخارات این مجموعه اشاره و اظهار کرد: بومي‌سازي و توليد سامانه‌هاي ارزيابي امنيت (سامانه امن جو و پدسا)، شركت فعال در کنفرانس های متعدد در حوزه امنيت و كسب رتبه‌هاي برتر در كنفرانس‌ها، همكاري در ايجاد مراكز ارزیابی امنیتی با نام «آپا» در دانشگاه‌هاي كشور براي اولين بار، چاپ و نشر كتب تخصصي در حوزه امنيت را از دستاوردها و افتخارات آزمايشگاه امنيت پژوهشگاه ارتباطات و فناوري عنوان کردند.

هشدار بانک مرکزی درباره افزایش سایت‌ها و درگاه‌های پرداخت تقلبی

با توجه به افزایش تعداد سایت‌های جعلی در فضای پرداخت کشور، بانک مرکزی از دارندگان کارت‌های بانکی درخواست کرد هنگام انجام عملیات بانکی و خرید در فضای مجازی، توجه و دقت لازم را به عمل آورده و از ورود و افشای اطلاعات کارت خود در سایت‌های نامعتبر و مشکوک خودداری کنند.
 
 
 
بانک مرکزی در اطلاعیه‌ای نسبت به افزایش تعداد سایت‌های جعلی و درگاه‌های تقلبی هشدار داد.
 
در این اطلاعیه آمده است:«به اطلاع هم‌میهنان گرامی می رساند این بانک در راستای صیانت و محافظت از دارایی مشتریان و به منظور مقابله با سایت های جعلی و جلوگیری از فیشینگ درگاه های پرداخت همواره اقدام به شناسایی درگاه‌های تقلبی و پیگیری جهت مسدودسازی و غیرفعال شدن این درگاه‌های می‌نماید.
 
درگاه‌های جعلی پرداخت یا فیشینگ توسط مجرمان سایبری به منظور سرقت اطلاعات کارت مردم، طراحی شده و در اینترنت بارگذاری می‌شوند.
 
با توجه به اینکه اطلاعات کارت (شماره کارت، رمز دوم، تاریخ انقضا و کد CVV2 ) برای انجام تراکنش‌های کارتی اینترنتی مانند خرید و انتقال وجه کارت به کارت استفاده می‌شود، مجرمان همواره سعی در سرقت این اطلاعات با فریب مردم از طریق صفحات فیشینگ را دارند.
 
بانک مرکزی با همکاری بانک‌ها و موسسات اعتباری و شرکت‌های ارایه دهنده خدمات پرداخت اقدامات پیشگیرانه متعددی برای حفاظت از دارایی شهروندان در برابر این نوع کلاهبرداری ها به انجام رسانده اند که از آن جمله می‌توان به تجمیع درگاه‌های پرداخت معتبر ذیل دامنه شاپرک بکارگیری گواهی‌های امنیتی معتبر، ارایه رمز دوم پویا به مشتریان و رصد و پایش مستمر درگاه های پرداخت در فضای مجازی اشاره کرد.
 
 به موازات اقدامات پیشگیرانه فوق، این بانک با همکاری بانک‌ها و موسسات اعتباری، شرکت های ارایه دهنده خدمات پرداخت و شرکت های تابعه خود با رصد شبکه‌های اجتماعی و بهره گیری از قابلیت‌های مراکز رصد و پایش درگاه‌های شبکه پرداخت کشور و نیز تعامل با نهادهایی نظیر دادستانی، پلیس فتا و مرکز ماهر اقدام به مسدود سازی تعداد زیادی سایت جعلی کرده است.
 
در پایان از مشتریان بانک‌ها و موسسات اعتباری که اقدام به انجام تراکنش‌های اینترنتی می‌کنند درخواست می‌شود ضمن توجه به اعتبار درگاه‌های مورد استفاده در فضای مجازی از رمز دوم پویا که توسط بانک‌ها و موسسات اعتباری ارایه می‌شود استفاده کنند. امید است اقدامات انجام شده در کنار ارتقاء آگاهی عموم مشتریان بانک‌ها موجبات کاهش اقدامات مجرمانه در فضای مجازی را فراهم آورد».

‫ شناسایی آسیب پذیری حیاتی در میل سرور های EXIM (CVE-2019-16928

بار دیگر آسیب پذیری حیاتی در سرویس‌دهنده‌ی ایمیل #‫exim شناسایی شده است. با سواستفاده از آن مهاجم می تواند کد های مخرب را با دسترسی root بر روی میزبان اجرا کند. نسخه‌های 4.92 تا 4.92.2 آسیب‌پذیر هستند.در صورت استفاده از این سرویس دهنده سریعا نسبت به بروزرسانی اقدام نمایید.
بر اساس بررسی و رصد مرکز ماهر ۶۰۰۰ آدرس IP و ۳۳۰۰۰۰ دامنه تحت تاثیر این آسیب‌پذیری در کشور شناسایی شده اند. شمار زیادی از این دامنه‌ها، دامنه‌های اشتراکی میزبانی شده توسط شرکت‌های میزبانی هستند که به واسطه استفاده از ابزار CPANEL تحت تاثیر این آسیب‌پذیری قرار دارند. اطلاع رسانی به صاحبان IP های آسیب‌پذیر در جریان است.

‫ اطلاعیه مرکز ماهر در خصوص دومین مرحله از مسابقات کشف باگ و آسیب‌پذیری

دومین مرحله از مسابقات کشف باگ و آسیب‌پذیری مرکز ماهر با شرکت دو وبسایت دیگر سازمان فناوری اطلاعات ایران در سامانه کلاه‌سفید در جریان است.وبسایت‌های شرکت کننده در مسابقه: http://mob.gov.ir
https://payesh.iran.gov.ir
جزییات بیشتر را می توانید در صفحه‌ی مسابقات ملاحظه کنید:
https://kolahsefid.cert.ir/Contest/276.html
https://kolahsefid.cert.ir/Contest/279.ht

اظهارات بیژن زنگنه در خصوص ضرورت هوشیاری صنعت نفت در برابر تهدیدهای سایبری

وزیر نفت در پیامی با تبریک روز ملی آتش‌نشانی و ایمنی  تاکید کرده که همه شرکت‌ها و تاسیسات صنعت نفت در شرایطی که تحریم‌ها صنعت نفت را نشانه گرفته است، در برابر تهدیدهای فیزیکی و سایبری هوشیاری کامل داشته باشند.

وزیر نفت در این پیام آورده است که رشادت آتش‌نشانان صنعت نفت در هفتمین روز مهرماه سال ۱۳۵۹، مقارن با نخستین روزهای دفاع مقدس، نماد درخشان پایمردی و از خودگذشتگی کارکنان خدوم و وظیفه شناسی این صنعت در حفاظت از تاسیسات است و این روحی ارزشمند در برهه‌های مختلف و دشوار این صنعت چه در دوران دفاع مقدس و چه پس از آن متجلی است.
 
زنگنه در ادامه گفته که همکاران عزیز، تحریم‌های ظالمانه دشمنان در یک جنگ تمام عیار اقتصادی، صنعت نفت را که پیشران و محرک اقتصاد کشور است، نشانه گرفته و شرایطی خاص را رقم زده است. در این شرایط لازم است در همه شرکت‌ها و تاسیسات صنعت نفت، هوشیاری کامل در برابر تهدیدهای فیزیکی و سایبری ایجاد و تمهیدات مدیریتی، فنی و عملیاتی لازم برای حفاظت از تاسیسات و سرمایه‌های فیزیکی، ارتقای تاب‌آوری و پایداری در زنجیره ارزش از بالادست تا پایین‌دست صنعت نفت به صورت یکپارچه و باتوجه ویژه به رویکردهای پیشگیرانه ایمنی و کنترل‌های دقیق عملیاتی، اتخاذ شود.
 
وی با تاکید بر ضرورت توجه همه شرکت‌ها و تاسیسات تابعه صنعت نفت با سرلوحه قرار دادن مفاد شیوه‌نامه ابلاغی مدیریت شرایط اضطراری در صنعت نفت و رویه‌ها و شیوه‌نامه‌های تکمیلی مرتبط، تاکید کرده که تدابیر لازم به‌منظور آمادگی کامل برای مواجهه با وضعیت‌های اضطراری و به حداقل رساندن هرگونه صدمه و آسیب به کارکنان، تاسیسات و جامعه محلی را با محوریت اصلی فرماندهی واحد به کار گیرند.
 
زنگنه در پایان ضمن قدردانی از تلاش‌های مستمر و شبانه‌روزی یکایک کارکنان صنعت نفت، از مدیران همه شرکت‌ها و واحدهای صنعت نفت اعم از دولتی و غیردولتی خواسته تا با بهره‌گیری از توانمندی‌های ارزشمند سرمایه انسانی، تدابیر و اقدام‌های لازم را برای تحقق موارد فوق به‌کار گیرند.

راه‌حل ضد تقلب کسپرسکی برای ورزش‌های الکترونیکی

آن زمان که گیم‌های ویدیویی فقط یک سرگرمیِ خانگی بودند، هیچکس اهمیت نمی‌داد بازیکنان جرزنی می‌‌کنند یا نه. حتی وقتی حالت بازی‌های چندنفره هم باب شد باز معدود افرادی بودند که بخواهند به این مسائل اهمیت دهند. اما با پیشرفت esports ورق برگشت؛ حالا دیگر تقلب و جرزنی در بازیست که نه فقط عمده مشکلِ بازیکن‌ها که همچنین دغدغه‌ی متصدیان، حامیان مالی و میلیون‌ها بیننده است.
روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ نگوییم که این وسط صنعت شرط‌بندی چقدر سرِ بُرد و باخت این بازی‌ها خونِ دل می‌خورد. از اینها گذشته، پول جایزه‌ای که برای این رقابت‌ها در نظر دیده شده است نیز می‌تواند به خطر بیافتد.  
مسیر از کجا می‌تواند منحرف شود؟  
بیشترِ گیم‌ها با میزبانیِ سرورها و یا در سرویس‌های کلود انجام می‌شوند. بنابراین شاید خیلی‌ها فکر کنند دیگر خبری از جرزنی و تقلب در بازی نیست اما طبق معمول همه‌چیز همیشه هم آنقدر ساده و قابل‌فهم نیست؛ گاهی مسائل پیچیده می‌شوند و دور از انتظار. در بسیاری از بازی‌ها، برنامه‌ی کلاینت، اطلاعاتی بیش از حدِ مجاز بازیکن برای دیدن دریافت می‌کند. برای مثال، برنامه دقیقاً می‌داند دو رقیب بازی کجای کارند و با یکدیگر چند چندند. طبیعی است که طرفداران دوآتشه‌ی تکنولوژی پی بردند چطور می‌شود از این اطلاعات برای جرزنی کردن در بازی استفاده کرد.
بازیکن‌ها با جرزنی می‌توانند حریفان خود را از پشت دیوارها و سایر مناظر ببینند و هیچ کمینگاهی برایشان باقی نگذراند. اگر برنامه به مختصاتِ دقیقِ حریف واقف باشد، ساخت قابلیتی با هدف خودکار برای شلیک مستقیم به سرِ دشمن چندان هم کار سختی نخواهد بود. علاوه بر اینها، جرزنی می‌تواند به طور اتوماتیک، پاسخی باشد به رویدادهای درون-گیمی (آن هم با سرعتی خیلی بیشتر از آنچه انسان در توان دارد).
تقلب‌ در تورنومنت‌ها
خوشبختانه، در رویدادهای مهم گیمینگ خیلی سخت می‌شود جرزنی و تقلب کرد. اول از همه اینکه، این گیم‌ها روی دستگاه‌های ناظران بازی اتفاق می‌افتند. دوم اینکه تماشاگران، کارشان نظارت بر روی رفتار بازیکن است. و سوم اینکه کلی تماشاگرِ حرفه‌ای آنجا هستند که می‌توانند بازی فول را در لحظه تشخیص دهند. با این حال، بازیکنان سرکش همچنان به جرزنی و تقلب خود در گیم ادامه می‌دهند.
برای بازیکنان مبتدی، بسیاری از رویدادها ابتدا با سنجش صلاحیتِ رقابت‌ها شروع می‌شود که بازیکنان در آن از کامپیوترهای خانگی خود استفاده می‌کنند. گرچه آن‌ها در این مرحله چندان هم نمی‌توانند امتیاز کسب کنند اما بازیکنان همچنین فرصت‌های بیشتری برایشان پیش می‌آید تا دست به جرزنی و تقلب بزنند. حذف تیمی قوی در راندهای سنجش صلاحیت فقط می‌تواند شانس‌شان را در مراحل بعدی بالاتر ببرد. وبسایت‌های هوادار دائماً فهرست‌هایی از متقلبینی را که دستشان رو شده و از بازی کنار گذاشته شدند منتشر می‌کنند. برای مثال اینجا فهرستی است از بازیکنانی که از کانتر-استراک: تورنومنت‌های گلوبال آفنسیو حذف شدند. همانطور که مستحضر هستید، اکثر آن‌ها به خاطر جرزنی و تقلب کنار گذاشته شدند.
 
 
چرا داریم در موردش می‌نویسیم
تقلب در ورزش‌های الکترونیکیِ حرفه‌ای اساساً نوع دیگریست از یک تهدید سایبری. تقلب‌های نرم‌افزاری چندان هم توفیری با بدافزارها ندارند. علاوه بر اینها، بسیاری از کارمندان کسپرسکی، خود طرفداران پر و پا قرص گیمینگ حرفه‌ای‌ هستند. آن‌ها زود متوجه شدند که فناوری‌های شناسایی حملات سایبریِ ما می‌تواند طوری تغییر داده شوند تا بشود از طریقشان به گندکاری‌هایی که در رویدادهای ورزش‌های الکترونیکیِ حرفه‌ای رخ می‌دهد پی برد.
قدم بعدی هم طبیعتاً ساخت سیستمی ضد تقلب بود که باید ناظرین  e-sports آن را استفاده می‌کردند. راه‌حل ما مبتنی بر کلود است و کارش نظارتِ در لحظه‌ی تقلب‌ها در طول رقابت است. این راه‌حل به درستی و بر حق در مورد جرزنی‌ها قضاوت می‌کند و تأیید فنی را در اختیار مسئولین قرار می‌دهد. گرچه در نهایت نیرویی انسانی باید آخرین قضاوت را داشته باشد؛ اما این سیستم می‌تواند تشخیص بازیِ جرزنی‌شده را بسیار آسانتر کند. و از همه مهمتر، سیستم ما هیچ تأثیری بر روی عملکرد بازی و یا گیم‌پلی نمی‌گذارد؛ تمام محاسبات اعدادی روی سرورهای کلود صورت می‌گیرد و نه دستگاه‌های بازیکن.
در حال حاضر، راه‌حل ضد تقلبِ کسپرسکی دو تا از محبوب‌ترین رقابت‌های e-sports را پوشش می‌دهد: Counter-Strike: Global Offensive  و  PlayerUnknown’s Battlegrounds؛ اما در نظر داریم این فهرست را بلندبالاتر کنیم.

رفع نقص XSS در WORDPRESS

تجزیه و تحلیل محققان خبر از وجود یک #‫آسیب‌پذیری اسکریپت‌نویسی متقابل ذخیره‌شده (Stored Cross-Site Scripting) در WordPress می‌دهد که می‌تواند منجر به اجرای کد راه‌دور drive-by شود.
حمله‌ی drive-by زمانی رخ می‌دهد که دشمن از طریق ملاقات کاربر از مرورگر وب طی یک جستجوی نرمال، به سیستم دسترسی یابد.
این آسیب‌پذیری که با شناسه‌ی CVE-2019-16219 ردیابی می‌شود، در ویرایشگر داخلی Gutenburg که در نسخه‌های WordPress 5.0 و بالاتر وجود دارد، یافت شده است. به گفته‌ی Zhouyuan Yang در آزمایشگاه Forti Gaurd، در صورت وجود یک پیغام خطای “Shortcode”، Gutenburg نمی‌تواند کد JavaScript/HTML یک پست را فیلتر کند.
Shortcodeها میانبرهای ضروری هستند که کاربران WordPress می‌توانند به‌منظور تعبیه‌کردن فایل‌ها یا ساخت اشیایی که به صورت نرمال نیاز به کد پیچیده‌تری برای انجام دادن دارند، به کار گیرند. بلوک‌های Shortcode می‌توانند با کلیک بر روی گزینه‌ی “Add Block button” درون ویرایشگر Gutenburg، به یک صفحه اضافه شوند.
با این حال، با اضافه‌کردن برخی کاراکترهای رمزگذاری‌شده‌ی HTML (مانند ‘<’) به خود بلوک Shortcode و سپس بازکردن دوباره‌ی پست، کاربران یک پیغام خطایی دریافت خواهند کرد.
Wordpress پست را با رمزگشایی ‘<’ به ‘<”,”’ به نمایش می‌گذارد. فیلتر XSS در این پیش‌نمایش می‌تواند به‌راحتی با اضافه‌کردن کد اثبات مفهوم ‘>img src=1 onerror-prompt(1)>.’ به پست، دور زده شود. از آن پس، هر بازدیدکننده‌‌‌ی سایت که این پست را مشاهده می‌کند، کد XSS در مرورگرش اجرا خواهد شد.
این امر به یک مهاجم راه‌دور با مجوز «مشارکت‌کننده» (contributor) یا بالاتر اجازه می‌دهد کد دلخواه JavaScript/HTML را در مرورگر قربانیانی که به صفحه وب آسیب‌پذیر دسترسی دارند، اجرا کند. تا زمانی که مهاجم دارای نقش مشارکت‌کننده در یک صفحه وب WordPress آسیب‌پذیر است، می‌تواند از این نقص سوءاستفاده کند. مهاجمان همچنین می‌توانند خودشان وب‌سایتی بسازند یا ابتدا یک وب‌سایت قانونی را جهت تزریق کد در معرض خطر قرار دهند. از آن پس تنها لازم است قربانیان فریب‌خورده، صفحه‌ی در معرض خطر را به‌منظور اجرای کد مخرب ملاقات کنند.
آسیب‌پذیری اسکریپت‌نویسی متقابل ذخیره‌شده (XSS ذخیره‌شده)، شدیدترین نوع XSS است. XSS ذخیره‌شده زمانی اتفاق می‌افتد که یک برنامه‌ی کاربردی تحت وب داده‌های ورودی را از یک کاربر جمع‌آوری کند و آن داده‌ها را برای استفاده‌ی بعدی ذخیره سازد. اگر این داده‌ها به‌درستی فیلتر نشوند، داد‌ه‌های مخرب بخشی از وب‌سایت را تشکیل خواهند داد و درون مرورگر کاربر، تحت امتیازات برنامه‌ی کاربردی تحت وب، اجرا می‌شوند.
آسیب‌ دیگری که این نقص دارد این است که اگر قربانی دارای مجوز بالا باشد، مهاجم حتی می‌تواند کارگزار وب آن‌ها را در معرض خطر قرار دهد.
این نقص از نظر شدت، «متوسط» رتبه بندی شده است و دارای رتبه‌ی 6.1 در مقیاس 10 است.
این آسیب‌پذیری در نسخه‌های WordPress 5.0 تا 5.0.4، 5.1 و 5.1.1 یافت شده است و در ماه سپتامبر سال 2019، با انتشار نسخه‌ی WordPress 5.2.3، وصله شده است.
این نقص XSS، تنها نقص XSS وصله‌شده در بستر WordPress نیست؛ این به‌روزرسانی آسیب‌پذیری‌های XSS یافت‌شده در پیش‌نمایش‌های پست توسط مشارکت‌کنندگان، در نظرات ذخیره‌شده، در حین بارگزاری رسانه‌ها، در داشبود و در حین پاکسازی URL را نیز برطرف ساخته است.
نقص‌های XSS در WordPress و افرونه‌های مختلف، به آسیب‌زدن به این معروف‌ترین سیستم مدیریت محتوا در جهان که 60.4 درصد از سهم بازار CMS را به خود اختصاص داده‌است، ادامه می‌دهند. حدود یک سوم تمامی وب‌سایت‌های اینترنتی بااستفاده از WordPress ساخته شده‌اند.
به مدیران وب‌سایت‌ها توصیه می‌شود به‌روزرسانی منتشرشده جهت رفع این آسیب‌پذیری را در اسرع وقت به‌کار گیرند.

‫ هشدار! گسترش حملات باج‌افزاری در بین کاربران خانگی

مشاهدات صورت گرفته نشان می‌دهد که در بازه زمانی یک‌ماهه اخیر، با رشد و گسترش باج‌افزارهایی همچون STOP/Djvu که کابران خانگی را مورد حمله قرار می‌دهند، شدت این حملات بیشتر شده است. بررسی‌ها نشان می‌دهد که از عمده دلایل آلوده شدن این رایانه‌ها کلیک بر روی لینک‌های آلوده، دریافت فایل‌های اجرایی مخرب، کرک‌ها و نرم‌افزارهای فعال‌ساز و همچنین ماکروهای آلوده موجود در فایل‌های محصولات ادوبی و آفیس با پسوندهای pdf, doc, ppt و ... می‌باشند.
برای جلوگیری از آلوده شدن رایانه‌های شخصی و کاربران خانگی و همچنین کاهش آسیب‌های ناشی از حملات باج‌افزاری توصیه می‌گردد:
1. نسبت به تهیه نسخه‌های پشتیبان از اطلاعات ارزشمند و نگهداری به صورت غیر برخط اقدام نمایند.
2. از باز کردن پیام‌های مشکوک در محیط‌های مختلف از جمله ایمیل، پیام‌رسان‌ها و شبکه‌های اجتماعی پرهیز نمایند.
3. از دریافت فایل‌های اجرایی از منابع ناشناس پرهیز نمایند. به طور ویژه از دریافت کرک نرم‌افزارها خصوصاً فعال‌سازهای ویندوز و محصولات آفیس خودداری نمایند.
4. از به‌روز بودن سیستم‌عامل و محصولات ضدویروس اطمینان حاصل نمایند. لازم به یادآوری است که در بسیاری از موارد، ضدویروس‌ها از از تشخیص به‌هنگام باج‌افزارها ناتوان هستند. دلیل این موضوع گسترش کاربرد RaaS در بین باج‌افزارهای امروزی می‌باشد. مفهوم RaaS یا "باج‌افزار به عنوان یک خدمت" زمانی به کار برده می‌شود که گروهی نسبت به تهیه بستر حمله یعنی فایل‌های مخرب و بستر ارتباطی اقدام کرده و طیف گسترده‌ای از مهاجمین عموماً با دانش پایین‌تر با در اختیار گرفتن انواع فایل‌های جدید و سفارشی‌سازی شده که تا آن لحظه توسط هیچ ضدویروسی مشاهده نشده است، اقدام به حمله می‌نمایند.
5. همواره نسبت به علائم آلودگی باج‌افزار از قبیل تغییر پسوند فایل‌ها، پیغام باج‌خواهی، کاهش محسوس سرعت سیستم‌عامل و ... حساسیت داشته و در صورت مشاهده موارد مشکوک به آلودگی، قبل از هر اقدامی از خدمات مشاوره‌ای مرکز ماهر در این زمینه استفاده نمایند.