کمیته رکن چهارم – یک آسیبپذیری در پلاگین WS-STATISTICS سیستم مدیریت محتوای وردپرس شناسایی شده که مهاجم میتواند هنگام فعال بودن گزینه Record Exclusions در سایت آسیبپذیر از آن بهرهبرداری کند.
آسیبپذیری CVE-۲۰۲۲-۰۵۱۳ در پلاگین WS-STATISTICS سیستم مدیریت محتوای WORDPRESS شناسایی شد.
یکی از مرسومترین پلاگینها جهت بررسی آمار سایت (نمایش تعداد کاربران آنلاین در سایت به صورت لحظهای، گزارش آمار بازدید کلی سایت، نمایش آمار بازدیدکنندگان سایت، امکان ایجاد محدودیت برای شمارش یا عدم شمارش صفحات خاص در گزارشها و … ) در سیستم مدیریت محتوای WordPress ، پلاگین WS-Statistics است.
نسخههای قبل از ۱۳.۱.۴ این پلاگین یک آسیبپذیری با شدت بالا (۷.۵ از ۱۰) در NVD و شدت بحرانی (۹.۸ از ۱۰) در Wordfence دارند. منشاء این آسیبپذیری آرگومان exclusion_reason در مسیر ~/includes/class-wp-statistics-exclusion.php است که منجر به آسیبپذیری SQL Injection میشود. مهاجم زمانی میتواند از این آسیبپذیری بهرهبرداری کند که گزینه “Record Exclusions” در سایت آسیبپذیر فعال باشد.
برای رفع این آسیبپذیری لازم است که این پلاگین در سیستم مدیریت محتوای WordPress به نسخههای بعد از ۱۳.۱.۴ ارتقا یابد.
منبع : مرکز ماهر
