کمیته رکن چهارم – یک آسیبپذیری در افزونه JetFormBuilder کشف شده است که به دلیل محدودیت نامناسب در فیلدهای متای کاربر رخ میدهد و منجر به ارتقای سطح دسترسی مهاجم میشود.
یک آسیبپذیری با شناسه CVE-2024-7291 و شدت ۷٫۲ در افزونه JetFormBuilder کشف شده است. JetFormBuilder یک پلاگین فرمساز برای وردپرس است که به کاربران و توسعهدهندگان قابلیتهای متنوعی ازجمله ایجاد فرمهای چندمرحلهای، فرمهای سفارشی، ادغام با سرویسهای مختلف و تنظیمات پیشرفته برای فیلدهای فرم را ارائه میدهد.
این آسیبپذیری به دلیل محدودیت نامناسب در فیلدهای متای کاربر رخ میدهد و منجر به ارتقای سطح دسترسی مهاجم میشود. در سایتهایی که به صورت شبکهای پیکربندی شدهاند امکان ثبتنام مهاجم احراز هویتشده با سطح دسترسی مدیر بهعنوان کاربری با سطح دسترسی بالاتر از مدیر را فراهم میکند.
این آسیبپذیری نسخه ۳٫۳٫۴٫۱ و تمام نسخههای قبلی افزونه JetFormBuilder را تحت تاثیر قرار میدهد و به کاربران توصیه میشود افزونه را به نسخه ۳٫۳٫۴٫۲ بهروزرسانی کنند.
براساس بردار حمله این آسیبپذیری AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H پیچیدگی حمله پایین است و مهاجم میتواند از راه دور حمله را انجام دهد. بهرهبرداری از این آسیبپذیری نیازمند دسترسی به سطح بالایی از مجوزهاست. آسیبپذیری تأثیر بالایی بر محرمانگی دارد، مهاجم میتواند به اطلاعات حساس دسترسی پیدا کند و دادهها را دستکاری کند. بنابراین میتواند تأثیرات شدیدی بر محرمانگی، یکپارچگی و دسترسپذیری سیستم داشته باشد.
منبع: افتانا