کمیته رکن چهارم – نقص امنیتی جدید در افزونه Redux وردپرس به مهاجمان امکان حملات XSS و اجرای کد از راه دور را میدهد و کاربران باید فوراً افزونه خود را بهروزرسانی کنند.
آسیبپذیری با شناسه CVE-2024-6828 و امتیاز ۷.۲ در افزونه Redux Framework وردپرس شناسایی شده است. این آسیبپذیری به دلیل عدم بررسی مجوزها و قابلیتها در تابع Redux_Color_S+cheme_Import رخ میدهد و امکان بارگذاری فایلهای JSON بدون احراز هویت را فراهم میکند.
این نقص امنیتی به مهاجمان احراز هویت نشده اجازه میدهد تا فایلهای JSON را بارگذاری کنند که میتواند برای انجام حملات XSS ذخیرهشده مورداستفاده قرار گیرد. همچنین، در برخی موارد نادر، زمانی که wp_filesystem نتواند بهدرستی راهاندازی شود، این آسیبپذیری میتواند به اجرای کد از راه دور منجر شود.
نسخههای ۴.۴.۱۲ تا ۴.۴.۱۷ تحت تاثیر این آسیبپذیری قرار دارند و لازم است که بهروزرسانی افزونه به آخرین نسخه ارائهشده، اعمال شود.
منبع: افتانا