کمیته رکن چهارم – در افزونههای Oxygen Builder و Unlimited Elements For Elementor وردپرس، آسیبپذیریهایی شناسایی شده است.
یک آسیبپذیری با شناسه CVE-2024-4662 و شدت بالا (۸٫۸) در افزونه Oxygen Builder وردپرس کشف شده است. این نقص امکان اجرای کد از راه دور (RCE) از طریق post metadata را برای مهاجم فراهم میکند. یک مهاحم با دسترسی پایین با بهرهبرداری از این نقص میتواند کد PHP دلخواه خود را تزریق کند و دسترسی بالاتری را به دست آورد یا به طور بالقوه کنترل وب سایت را در دست بگیرد.
بر اساس بردار حمله این آسیبپذیری، CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H بهرهبرداری از آن از طریق شبکه خارجی و از راه دور امکانپذیر است (AV:N) و نیازمند پیشزمینه خاصی نبوده و بهراحتی قابل تکرار است و به شرایط خاصی نیاز نیست(AC: L)، برای انجام حمله به حساب کاربری با سطح دسترسی پایین نیاز است (PR: L) و به تعامل کاربر نیاز ندارد (UL:N)، بهرهبرداری از آسیبپذیری مذکور بر سایر منابع امنیتی تأثیر نمیگذارد (S:U) و هر سه ضلع امنیت با شدت بالایی تحت تأثیر قرار میگیرند (C:H/I:H/A:H).
یک آسیبپذیری با شناسه CVE-2024-4779 و شدت بالا (۸٫۸) در افزونه Unlimited Elements For Elementor وردپرس شناسایی شده است. این نقص به دلیل پارامتر ” data[post_ids][0]” است که به درستی در برابر حملات تزریق SQL ایمن نشده است. یک مهاجم احراز هویت شده با دسترسی پایین با بهرهبردرای از این نقص میتواند حمله SQL Injection را انجام دهد و به اطلاعات حساس از پایگاه داده دسترسی پیدا کند.
بر اساس بردار حمله این آسیبپذیری،CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H بهرهبرداری از آن از طریق شبکه خارجی و از راه دور امکانپذیر است (AV:N) و نیازمند پیشزمینه خاصی نبوده و به راحتی قابل تکرار است و به شرایط خاصی نیاز نیست(AC: L)، برای انجام حمله به حساب کاربری با سطح دسترسی پایین نیاز است (PR: L) و به تعامل کاربر نیاز ندارد (UL:N)، بهرهبرداری از آسیبپذیری مذکور بر سایر منابع امنیتی تأثیر نمیگذارد (S:U) و هر سه ضلع امنیت با شدت بالایی تحت تأثیر قرار میگیرند (C:H/I:H/A:H).
شناسه CVE-2024-4662، تمامی نسخههای قبل از نسخه ۴٫۸٫۳ را تحت تأثیر قرار میدهد و شناسه CVE-2024-4779، نسخههای قبل از نسخه ۱٫۵٫۱۰۸ را تحت تأثیر قرار میدهد.
به کاربران توصیه میشود در اسرع وقت افزونه Oxygen Builder را به نسخه ۴٫۸٫۳ و افزونه Unlimited Elements for Elementor را به نسخه ۱٫۵٫۱۰۸ بهروزرسانی کنند.
منبع : افتانا