Profile Builder یک افزونه جامع جهت ساخت پروفایل کاربری و ثبت نام کاربر برای وردپرس است. آسیبپذیری Cross Site Request Forgery (CSRF) با شناسه CVE-2024-22140 با شدت بالا (8.8) برای این افزونه کشف شده که میتواند به مهاجم اجازه دهد تا کاربران احراز هویتشده که دارای امتیاز و دسترسی بالا میباشند را مجبور به اجرای اقدامات ناخواسته کند. بر اساس بردار حمله این آسیبپذیری(CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H) بهرهبرداری از طریق شبکه خارجی و از راه دور امکانپذیر است (AV:N)، نیازمند هیچ پیشزمینهای نبوده و بهراحتی قابل تکرار است و چندان به شرایط خاصی نیاز نیست (AC:L)، مهاجم برای انجام حمله نیاز به حسابکاربری با سطح دسترسی پایین یا بالا ندارد (PR:N)، به تعامل با کاربر نیز نیاز دارد (UI:R)، بهرهبرداری از نقص امنیتی مذکور بر سایر منابع امنیتی تأثیر نمیگذارد (S:U) و با بهرهبرداری از این آسیبپذیری، هر سه ضلع امنیت با شدت زیاد تحت تأثیر قرار میگیرد.
محصولات تحت تأثیر
نسخه 3.10.0 و نسخههای قدیمیتر افزونه Profile Builder تحت تأثیر این نقص امنیتی قرار دارند.
توصیههای امنیتی
به کاربران توصیه میشود در اسرع وقت افزونه خود را به نسخه 3.10.1 یا بالاتر بهروزرسانی کنند.
منبع خبر:
- 26