آسیب‌پذیری جدید WHMCS و آموزش پچ اضطراری آن - وهاب آنلاین

همکاران و مدیران گرامی وب‌سایت‌های مبتنی بر WHMCS،

به اطلاع می‌رساند یک آسیب‌پذیری امنیتی بحرانی با شناسه CVE-2026-29204 در سیستم مدیریت کاربران و اتوماسیون هاستینگ (WHMCS) شناسایی و تایید شده است. این نقص امنیتی به دلیل گستردگی نسخه‌های تحت تأثیر، امنیت پلتفرم‌های هاستینگ و خدمات دیجیتال را به شدت تهدید می‌کند.

ماهیت و مکانیزم آسیب‌پذیری چیست؟

این باگ از نوع IDOR (Insecure Direct Object Reference) یا «ارجاع مستقیم و ناامن به اشیاء» است که در بخش ناحیه کاربری (Client Area) رخ می‌دهد. در این نقص فنی، سیستم در هنگام پردازش برخی درخواست‌ها (به‌ویژه درخواست‌های مرتبط با addonId)، به درستی مالکیت دسترسی کاربرِ احراز هویت شده را نسبت به آن سرویس یا افزونه بررسی نمی‌کند.

در نتیجه این نقص، یک کاربر ثبت‌نام شده در سایت می‌تواند با دستکاری پارامترها در درخواست‌های خود، به اطلاعات حساس سرویس‌های سایر کاربران دسترسی پیدا کرده یا در برخی سناریوها، تنظیمات مربوط به آن‌ها را دستخوش تغییر کند. این موضوع به معنای نشت اطلاعات مشتریان و ریسک اختلال در وضعیت سرویس‌هاست.

نسخه‌های آسیب‌پذیر کدامند؟

طبق گزارش‌های رسمی، تمامی وب‌سایت‌هایی که از نسخه‌های زیر استفاده می‌کنند در معرض خطر این آسیب‌پذیری قرار دارند:

• سری ۹: تمامی نسخه‌های پیش از 9.0.4

• سری ۸: تمامی نسخه‌های پیش از 8.13.3

• سری ۷: تمامی نسخه‌های بالاتر از 7.4.0 (از جمله نسخه‌های محبوبی مانند 7.10)

راهکار ایمن‌سازی و اقدام فوری:

تنها راهکار قطعی و استاندارد برای مسدودسازی این حفره امنیتی، به‌روزرسانی فوری هسته WHMCS به آخرین نسخه‌های پایدار و اصلاح‌شده است. سیستم خود را فورا به نسخه 9.0.4 (اگر از سری 9 استفاده می‌کنید) یا نسخه 8.13.3 (اگر از سری 8 استفاده می‌کنید) آپدیت نمایید.

راهکار موقت و اضطراری (Temporary Workaround):

طبق اعلام رسمی تیم توسعه‌دهنده WHMCS، اگر به هر دلیلی شرایط به‌روزرسانی فوری هسته سیستم را ندارید، می‌توانید با انجام مراحل زیر، دسترسی به بخش‌های تحت تأثیر این باگ را در سطح زمان اجرای PHP (Runtime Level) به‌صورت موقت مسدود کنید:

۱. فایل configuration.php موجود در ریشه اصلی (Root) هاست یا سرور خود را جهت ویرایش باز کنید. ۲. در یک خط جدید و دقیقاً قبل از تگ بسته شدن ?>، کد زیر را اضافه کنید:

if (isset($_REQUEST['addonId'])) {
    die('This has been disabled.');
}

۳. فایل را ذخیره کنید.

(توجه داشته باشید که این راهکار موقتی است و ممکن است برخی قابلیت‌های عملکردی بخش ناحیه کاربری یا ماژول‌های افزونه را محدود کند؛ لذا پس از ارتقای سیستم به نسخه آخر، حتماً این قطعه کد را از فایل تنظیمات حذف نمایید).

اقدامات تکمیلی پس از ایمن‌سازی:

1. بررسی افزونه‌ها و ماژول‌های جانبی: پس از به‌روزرسانی هسته، عملکرد ماژول‌های اختصاصی و تجاری خود را تست کنید تا از سازگاری کامل آن‌ها با تغییرات امنیتی جدید اطمینان حاصل فرمایید.

2. پایش فایل‌های لاگ: جهت اطمینان از عدم سوءاستفاده‌های احتمالی در گذشته، بخش Activity Log سیستم خود را برای درخواست‌های مشکوک و غیرعادی بازبینی کنید.

نکته مهم برای کاربران نسخه‌های قدیمی (مانند سری 7): با توجه به اینکه پشتیبانی رسمی از نسخه‌های قدیمی پایان یافته است، تکیه بر کدهای قدیمی ریسک‌های امنیتی بزرگی به همراه دارد. پیشنهاد می‌کنیم فرآیند مهاجرت و ارتقای سیستم خود به نسخه‌های مدرن را در اولویت برنامه‌های خود قرار دهید.

وهاب آنلاین به عنوان توسعه‌دهنده و ارائه‌دهنده خدمات تخصصی WHMCS، همواره بر حفظ امنیت زیرساخت‌های وب فارسی تاکید دارد. در صورتی که برای فرآیند به‌روزرسانی، اعمال پچ امنیتی یا بررسی سازگاری ماژول‌های خود نیاز به مشاوره و خدمات فنی دارید، می‌توانید با کارشناسان ما در بخش پشتیبانی در ارتباط باشید.

تیم فنی و توسعه وهاب آنلاین

vahabonline.ir