افزونه وردپرس The NotificationX یک افزونه علان در WooCommerce وردپرس می باشد که به تازگی در آن یک آسیبپذیری با شناسه CVE-2024-1698 و شدت بحرانی(9.8) کشف و شناسایی شده است. این نقص امنیتی از نوع حملات SQL Injection میباشد که از طریق پارامتر ‘type’ دستگاه را تحت تأثیر خود قرار که در پی آن مهاجم احراز هویت نشده میتواند کوئریهای اضافی SQL را به کوئریهای موجود پیوست دهد که ممکن است برای استخراج اطلاعات حساس از پایگاه داده استفاده شوند.
بر اساس بردار حمله این آسیبپذیری (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H) بهرهبرداری از طریق شبکه خارجی و از راه دور امکانپذیر است (AV:N) ، نیازمند هیچ پیشزمینهای نبوده و بهراحتی قابل تکرار است و چندان به شرایط خاصی نیاز نیست (AC:L) برای انجام حمله به هیچ حساب کاربری با سطح دسترسی خاصی نیاز نیست (PR:N) ، به تعامل با کاربر نیز نیاز ندارد (UI:N) ، بهرهبرداری از نقص امنیتی مذکور بر سایر منابع امنیتی تأثیر نمیگذارد (S:U) و و در بدترین شرایط (قربانی شدن کاربری با سطح دسترسی ادمین)، با بهرهبرداری از این آسیبپذیری، هر سه ضلع امنیت با شدت بالا تحت تأثیر قرار میگیرند.
محصولات تحت تأثیر
تمام نسخههای قبل از نسخه 2.8.2 افزونه وردپرس The NotificationX در برابر نقصهای امنیتی مذکور، آسیبپذیر هستند.
توصیههای امنیتی
لازم است که تمام کاربران، هرچه سریعتر محصول خود را به نسخه 2.8.3 یا بالاتر ارتقاء دهند.
منابع خبر:
[1]https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/notificationx/notification…
[2] https://nvd.nist.gov/vuln/detail/cve-2024-1698
- 45