کشف آسیب‌پذیری در افزونه Digits

کشف آسیب‌پذیری در افزونه Digits

تاریخ ایجاد

یک آسیب‌پذیری با شناسه CVE-2024-0203 و شدت متوسط (8.8) در افزونه Digits وردپرس کشف شده است. این آسیب‌پذیری به دلیل عدم وجود اعتبارسنجی nonce در تابع digits_save_settings در افزونه Digits رخ می‌دهد. این نقص به مهاجمان غیرمجاز اجازه می‌دهد تا با فریب مدیر سایت برای کلیک بر روی یک لینک مخرب، نقش پیش‌فرض کاربران ثبت‌شده را تغییر داده و سطح دسترسی آنها را ارتقاء دهند.

محصولات تحت‌تاثیر
این نقص امنیتی تمام نسخه‌های افزونه Digits وردپرس تا نسخه  8.4.1 را تحت تأثیر قرار می‌دهد.

توصیه‌های امنیتی
جهت رفع این نقص امنیتی، به کاربران توصیه می‌‎شود افزونه Digits را به آخرین نسخه موجود (حداقل 8.4.2) به‌روزرسانی کنند.


منابع‌خبر:


[1]  https://github.com/advisories/GHSA-g295-36ch-j742
[2] https://nvd.nist.gov/vuln/detail/CVE-2024-0203