شناسایی آسیب‌پذیری در افزونه‌های وردپرس

کمیته رکن چهارم – در افزونه‌های Oxygen Builder و Unlimited Elements For Elementor وردپرس، آسیب‌پذیری‌هایی شناسایی شده است.

یک آسیب‌پذیری با شناسه CVE-2024-4662 و شدت بالا (۸٫۸) در افزونه Oxygen Builder وردپرس کشف شده است. این نقص امکان اجرای کد از راه دور (RCE) از طریق post metadata را برای مهاجم فراهم می‌کند. یک مهاحم با دسترسی پایین با بهره‌برداری از این نقص می‌تواند کد PHP دلخواه خود را تزریق کند و دسترسی بالاتری را به دست آورد یا به طور بالقوه کنترل وب سایت را در دست بگیرد.

بر اساس بردار حمله این آسیب‌پذیری، ‌ CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H بهره‌برداری از آن‌ از طریق شبکه خارجی و از راه دور امکان‌پذیر است (AV:N) و نیازمند پیش‌زمینه‌ خاصی نبوده و به‌راحتی قابل تکرار است و به شرایط خاصی نیاز نیست(AC: L)، برای انجام حمله به حساب کاربری با سطح دسترسی پایین نیاز است (PR: L) و به تعامل کاربر نیاز ندارد (UL:N)، بهره‌برداری از آسیب‌پذیری‌ مذکور بر سایر منابع امنیتی تأثیر نمی‌گذارد (S:U) و هر سه ضلع امنیت با شدت بالایی تحت تأثیر قرار می‌گیرند (C:H/I:H/A:H).

یک آسیب‌پذیری با شناسه CVE-2024-4779 و شدت بالا (۸٫۸) در افزونه Unlimited Elements For Elementor وردپرس شناسایی شده است. این نقص به دلیل پارامتر ” data[post_ids][0]” است که به درستی در برابر حملات تزریق SQL ایمن نشده است. یک مهاجم احراز هویت شده با دسترسی پایین با بهره‌بردرای از این نقص می‌تواند حمله SQL Injection را انجام دهد و به اطلاعات حساس از پایگاه داده دسترسی پیدا کند.
بر اساس بردار حمله این آسیب‌پذیری،CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H بهره‌برداری از آن‌ از طریق شبکه خارجی و از راه دور امکان‌پذیر است (AV:N) و نیازمند پیش‌زمینه‌ خاصی نبوده و به‌ راحتی قابل تکرار است و به شرایط خاصی نیاز نیست(AC: L)، برای انجام حمله به حساب کاربری با سطح دسترسی پایین نیاز است (PR: L) و به تعامل کاربر نیاز ندارد (UL:N)، بهره‌برداری از آسیب‌پذیری‌ مذکور بر سایر منابع امنیتی تأثیر نمی‌گذارد (S:U) و هر سه ضلع امنیت با شدت بالایی تحت تأثیر قرار می‌گیرند (C:H/I:H/A:H).

شناسه CVE-2024-4662، تمامی نسخه‌های قبل از نسخه ۴٫۸٫۳ را تحت تأثیر قرار می‌دهد و شناسه CVE-2024-4779، نسخه‌های قبل از نسخه ۱٫۵٫۱۰۸ را تحت تأثیر قرار می‌دهد.

به کاربران توصیه می‌شود در اسرع وقت افزونه Oxygen Builder را به نسخه ۴٫۸٫۳ و افزونه Unlimited Elements for Elementor را به نسخه ۱٫۵٫۱۰۸ به‌روزرسانی کنند.

منبع : افتانا

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


Type The Red Captcha Characters Below.