آسیبپذیری با شناسه CVE-2024-6828 و امتیاز ۷.۲ در افزونه Redux Framework وردپرس شناسایی شده است. این آسیبپذیری به دلیل عدم بررسی مجوزها و قابلیتها در تابع Redux_Color_S+cheme_Import رخ میدهد و امکان بارگذاری فایلهای JSON بدون احراز هویت را فراهم میکند.
با استفاده از PGP (Pretty Good Privacy) شما میتوانید محرمانگی پیغامها و فایلهایتان را با کمک رمزگزاری حفظ کنید بهطوری که فقط دریافتکنندگان مورد نظر شما بتوانند آنها را باز کنند و بخوانند. به علاوه میتوانید پیامها و فایلهایتان را امضای دیجیتال کنید تا دریافتکنندگان مطمئن شوند که متعلق به شما هستند. یک پیام امضاءشده، عدم تغییر محتویات آن را نیز تایید میکند.
همانطور که در شکل می بینید PGP براساس رمزنگاری کلید عمومی عمل میکند که در آن از یک جفت کلید برای برقراری ارتباط امن استفاده میشود. برای ارسال ایمیل خصوصی به یک نفر، از کلید عمومی (Public Key) آن شخص برای رمزنگاری اطلاعات استفاده میکنید و پس از آن تنها آن فرد میتواند با استفاده از کلید خصوصی (Private Key) خود ایمیل را رمزگشایی کند. بالعکس، چنانچه شخصی بخواهد برای شما ایمیل امن ارسال کند، از کلید عمومی شما برای رمز کردن متن نامه استفاده میکند و تنها شمایید که میتوانید آن متن را با استفاده از کلید خصوصی خود رمزگشایی کنید. بنابراین شما باید دیگران را از کلید عمومی خودتان مطلع میکنید اما از کلید خصوصی خودتان، خیر!!!
برای انجام امضای دیجیتال شما با کلید خصوصی خود Hash پیام را رمز می کنید و گیرنده با کلید عمومی شما می تواند Hash را از رمز خارج کرده و بعد از پیام دریافتی Hash بگیرد و با هم مقایسه کند در صورتی که هر دو Hash برابر باشند یعنی پیام در حین انتقال هیچ تغییری نکرده است.
امنیت PGP وابسته به نگهداری کلید خصوصی است با افشا شدن کلید خصوصی عملا هرکسی می تواند ایمیل های رمز شده شما را باز کند.
برای اطلاع دقیقتر از جزییات و نحوه کار PGP میتوانید به RFC4880 مراجعه کنید.
در آموزش استفاده از PGP نحوه نصب و استفاده از PGP در نرمافزار ارسال و دریافت ایمیل Thunderbird را شرح داده ایم.
مراجع:
https://www.ircert.com/tools/AboutPGP.htm
https://www.ietf.org/rfc/rfc4880.txt