یک آسیبپذیری با شناسه CVE-2024-0203 و شدت متوسط (8.8) در افزونه Digits وردپرس کشف شده است. این آسیبپذیری به دلیل عدم وجود اعتبارسنجی nonce در تابع digits_save_settings در افزونه Digits رخ میدهد. این نقص به مهاجمان غیرمجاز اجازه میدهد تا با فریب مدیر سایت برای کلیک بر روی یک لینک مخرب، نقش پیشفرض کاربران ثبتشده را تغییر داده و سطح دسترسی آنها را ارتقاء دهند.
محصولات تحتتاثیر
این نقص امنیتی تمام نسخههای افزونه Digits وردپرس تا نسخه 8.4.1 را تحت تأثیر قرار میدهد.
توصیههای امنیتی
جهت رفع این نقص امنیتی، به کاربران توصیه میشود افزونه Digits را به آخرین نسخه موجود (حداقل 8.4.2) بهروزرسانی کنند.
منابعخبر:
[1] https://github.com/advisories/GHSA-g295-36ch-j742
[2] https://nvd.nist.gov/vuln/detail/CVE-2024-0203
- 30