کد QR مطلبدریافت صفحه با کد QR

شناسایی آسیب‌پذیری در افزونه‌های وردپرس

wordfence , 6 خرداد 1403 ساعت 11:23

در افزونه‌های Oxygen Builder و Unlimited Elements For Elementor وردپرس، آسیب‌پذیری‌هایی شناسایی شده است.


در افزونه‌های Oxygen Builder و Unlimited Elements For Elementor وردپرس، آسیب‌پذیری‌هایی شناسایی شده است.
 
به گزارش افتانا، یک آسیب‌پذیری با شناسه CVE-2024-4662 و شدت بالا (8.8) در افزونه Oxygen Builder وردپرس کشف شده است. این نقص امکان اجرای کد از راه دور (RCE) از طریق post metadata را برای مهاجم فراهم می‌کند. یک مهاحم با دسترسی پایین با بهره‌برداری از این نقص می‌تواند کد PHP دلخواه خود را تزریق کند و دسترسی بالاتری را به دست آورد یا به طور بالقوه کنترل وب سایت را در دست بگیرد.
بر اساس بردار حمله این آسیب‌پذیری، ‌  CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H بهره‌برداری از آن‌ از طریق شبکه خارجی و از راه دور امکان‌پذیر است (AV:N) و نیازمند پیش‌زمینه‌ خاصی نبوده و به‌راحتی قابل تکرار است و  به شرایط خاصی  نیاز  نیست(AC: L)، برای انجام حمله به حساب کاربری با سطح دسترسی پایین نیاز است (PR: L) و به تعامل کاربر نیاز ندارد (UL:N)، بهره‌برداری از آسیب‌پذیری‌ مذکور بر سایر منابع امنیتی تأثیر نمی‌گذارد (S:U)  و هر سه ضلع امنیت با شدت بالایی تحت تأثیر قرار می‌گیرند (C:H/I:H/A:H).
 
یک آسیب‌پذیری با شناسه CVE-2024-4779 و شدت بالا (8.8) در افزونه Unlimited Elements For Elementor وردپرس شناسایی شده است. این نقص به دلیل پارامتر  " data[post_ids][0]" است که به درستی در برابر حملات تزریق SQL ایمن نشده است. یک مهاجم احراز هویت شده با دسترسی پایین با بهره‌بردرای از این نقص می‌تواند حمله SQL Injection را انجام دهد و به اطلاعات حساس از پایگاه داده دسترسی پیدا کند.
بر اساس بردار حمله این آسیب‌پذیری،CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H بهره‌برداری از آن‌ از طریق شبکه خارجی و از راه دور امکان‌پذیر است (AV:N) و نیازمند پیش‌زمینه‌ خاصی نبوده و به‌ راحتی قابل تکرار است و  به شرایط خاصی  نیاز  نیست(AC: L)، برای انجام حمله به حساب کاربری با سطح دسترسی پایین نیاز است (PR: L) و به تعامل کاربر نیاز ندارد (UL:N)، بهره‌برداری از آسیب‌پذیری‌ مذکور بر سایر منابع امنیتی تأثیر نمی‌گذارد (S:U)  و هر سه ضلع امنیت با شدت بالایی تحت تأثیر قرار می‌گیرند (C:H/I:H/A:H).
 
شناسه CVE-2024-4662، تمامی نسخه‌های قبل از نسخه 4.8.3 را تحت تأثیر قرار می‌دهد و شناسه CVE-2024-4779، نسخه‌های قبل از نسخه 1.5.108 را تحت تأثیر قرار می‌دهد.
 
به کاربران توصیه می‌شود در اسرع وقت افزونه Oxygen Builder را به نسخه 4.8.3 و افزونه Unlimited Elements for Elementor را به نسخه 1.5.108 به‌روزرسانی کنند.
 


کد مطلب: 22231

آدرس مطلب :
https://www.aftana.ir/news/22231/شناسایی-آسیب-پذیری-افزونه-های-وردپرس

افتانا
  https://www.aftana.ir