سوءاستفاده هکرها از آسیب‌پذیری پلاگین‌های وردپرس

کمیته رکن چهارم – کارشناسان امنیت سایبری یک آسیب‌پذیری بحرانی در پلاگین WooCommerce وردپرس کشف کرده‌اند.

یک آسیب‌پذیری باشناسه CVE-۲۰۲۲-۴۳۲۸ و شدت بحرانی (۹.۸) در نسخه‌های قبل‌ از ۱۸.۰ افزونه WooCommerce، سیستم مدیریت محتوای وردپرس کشف شده که امکان بارگذاری فایل‌های دلخواه مانند php را برای مهاجم بر روی سرور فراهم می‌سازد.

جزئیات آسیب‌پذیری

ووکامرس افزونه‌ وردپرس است که می‌توان با آن اقدام به راه‌اندازی فروشگاه اینترنتی کرد. افزودن WooCommerce به وردپرس این امکان را می دهد که بتوان محصولات خود را در سایت اینترنتی وردپرسی به فروش رساند.

با سوء‌استفاده از این آسیب‌پذیری مهاجم می‌تواند بدون احراز هویت شدن فایل دلخواه را بر روی سرور قرار دهد. این آسیب‌پذیری دارای بردار حمله CVSS:۳.۱/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H می‌باشد و بهره‌برداری از آن از طریق شبکه خارجی و از راه دور امکان‌پذیر است (AV:N).

سوء‌استفاده از این آسیب‌پذیری نیازمند هیچ پیش‌زمینه‌ای نبوده و به‌راحتی قابل تکرار است و نیازی به شرایط خاص نیست (AC:L). برای انجام حمله به هیچ حساب کاربری با سطح دسترسی خاصی نیاز نبوده (PR:N) و همچنین به تعامل با کاربر نیاز نیست(UI:N). سوء‌استفاده از آسیب‌پذیری بر منابع مدیریت‌شده توسط سایر مراجع امنیتی تأثیر نمی‌گذارد (S:U) و در بدترین شرایط، با سوء‌استفاده از آن، هر سه ضلع امنیت به میزان بالا تحت تأثیر قرار می‌گیرند (C:H و I:H و A:H).

محصولات تحت تأثیر

افزونه سیستم مدیریت یادگیری وردپرس WooCommerce نسخه قبل از ۱۸.۰تحت تأثیر این آسیب‌پذیری قرار می‌گیرند.

توصیه‌های امنیتی

این آسیب‌پذیری در نسخه های بعد از ۱۸.۰ رفع شده است.

منبع : مرکز ماهر

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


Type The Blue Captcha Characters Below.