یک آسیبپذیری با شناسه CVE-2023-6494 و شدت متوسط (4.4) در افزونه WPC Smart Quick View for WooCommerce وردپرس کشف شده است. این افزونه به دلیل پاکسازی ناکافی ورودی و خروجی در برابر اسکریپتهای بین سایتی ذخیره شده آسیبپذیر است و مهاجم احراز هویت شده با سطح دسترسی مدیر یا بالاتر این امکان را دارد تا اسکریپتهای وب دلخواه را در صفحاتی تزریق کند که هر زمان که کاربر به صفحه تزریق شده دسترسی پیدا کند، اسکریپتها اجرا شوند.
بر اساس بردار حمله این آسیبپذیری CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:L/I:L/A:N بهرهبرداری از آن از طریق شبکه خارجی و از راه دور امکانپذیر است (AV:N) و نیازمند پیشزمینهای بوده و بهراحتی قابل تکرار نیست و به شرایط خاصی نیاز است(AC:H)، برای انجام حمله به حساب کاربری با سطح دسترسی بالا نیاز است (PR:H) و به تعامل کاربر نیاز ندارد (UL:N)، بهرهبرداری از آسیبپذیری مذکور بر سایر منابع امنیتی تأثیر میگذارد (S: C) و دوضلع از سه ضلع امنیت با شدت کمی تحت تأثیر قرار میگیرند.
محصولات تحت تأثیر
این آسیبپذیری نسخههای قبل از 4.0.3 را تحت تأثیر قرار میدهد.
توصیههای امنیتی
توصیه میشود کاربران نسخه مورد استفاده خود را در اسرع وقت به 4.0.3 بهروزرسانی کنند.
منبع خبر:
- 42