یک آسیبپذیری با شناسه CVE-2024-4662 و شدت بالا (8.8) در افزونه Oxygen Builder وردپرس کشف شده است. این نقص امکان اجرای کد از راه دور (RCE) از طریق post metadata را برای مهاجم فراهم میکند. یک مهاحم با دسترسی پایین با بهرهبرداری از این نقص میتواند کد PHP دلخواه خود را تزریق کند و دسترسی بالاتری را به دست آورد یا به طور بالقوه کنترل وب سایت را در دست بگیرد.
بر اساس بردار حمله این آسیبپذیری، CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H بهرهبرداری از آن از طریق شبکه خارجی و از راه دور امکانپذیر است (AV:N) و نیازمند پیشزمینه خاصی نبوده و بهراحتی قابل تکرار است و به شرایط خاصی نیاز نیست(AC: L)، برای انجام حمله به حساب کاربری با سطح دسترسی پایین نیاز است (PR: L) و به تعامل کاربر نیاز ندارد (UL:N)، بهرهبرداری از آسیبپذیری مذکور بر سایر منابع امنیتی تأثیر نمیگذارد (S:U) و هر سه ضلع امنیت با شدت بالایی تحت تأثیر قرار میگیرند (C:H/I:H/A:H).
یک آسیبپذیری با شناسه CVE-2024-4779 و شدت بالا (8.8) در افزونه Unlimited Elements For Elementor وردپرس شناسایی شده است. این نقص به دلیل پارامتر " data[post_ids][0]" است که به درستی در برابر حملات تزریق SQL ایمن نشده است. یک مهاجم احراز هویت شده با دسترسی پایین با بهرهبردرای از این نقص میتواند حمله SQL Injection را انجام دهد و به اطلاعات حساس از پایگاه داده دسترسی پیدا کند.
بر اساس بردار حمله این آسیبپذیری، CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H بهرهبرداری از آن از طریق شبکه خارجی و از راه دور امکانپذیر است (AV:N) و نیازمند پیشزمینه خاصی نبوده و به راحتی قابل تکرار است و به شرایط خاصی نیاز نیست(AC: L)، برای انجام حمله به حساب کاربری با سطح دسترسی پایین نیاز است (PR: L) و به تعامل کاربر نیاز ندارد (UL:N)، بهرهبرداری از آسیبپذیری مذکور بر سایر منابع امنیتی تأثیر نمیگذارد (S:U) و هر سه ضلع امنیت با شدت بالایی تحت تأثیر قرار میگیرند (C:H/I:H/A:H).
محصولات تحت تأثیر
شناسه CVE-2024-4662: این آسیبپذیری تمامی نسخههای قبل از نسخه 4.8.3 را تحت تأثیر قرار میدهد.
شناسه CVE-2024-4779: این آسیبپذیری نسخههای قبل از نسخه 1.5.108 را تحت تأثیر قرار میدهد.
توصیههای امنیتی
شناسه CVE-2024-4662: به کاربران توصیه میشود در اسرع وقت افزونه Oxygen Builder را به نسخه 4.8.3 بهروزرسانی کنند.
شناسه CVE-2024-4779:به کاربران توصیه میشود در اسرع وقت افزونه Unlimited Elements for Elementor را به نسخه 1.5.108 بهروزرسانی کنند.
منابع خبر:
[1] https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/oxygenbuilder/oxygen-build…
[2] https://www.wordfence.com/threat-intel/vulnerabilities/id/b155f8ca-9d09-47d7-a7c2-7744df029c19?sour…
- 55