کشف آسیب‌پذیری در افزونه HUSKY

کشف آسیب‌پذیری در افزونه HUSKY

تاریخ ایجاد

یک آسیب‌پذیری با شناسه CVE-2024-6457  و شدت ۹.۸ (بحرانی) در افزونهHUSKY وردپرس که افزونه‌ای جهت فیلتر کردن محصولات در WooCommerce می‌باشد، کشف شده است. آسیب‌پذیری مذکور نوعی تزریق کد SQL مبتنی بر زمان است که با استفاده از پارامتر woof_author رخ می‌دهد و این امکان را برای مهاجم احراز هویت نشده فراهم می‌کند تا کوئری‌های SQL اضافی را به کوئری‌های موجود اضافه کند که می‌تواند منجر به استخراج اطلاعات حساس از پایگاه‌داده شود. 
مهاجمان می‌توانند از این آسیب‌پذیری برای موارد زیر بهره‌برداری کنند:

  • سرقت اطلاعات حساس از پایگاه‌داده، مانند نام کاربری، رمز عبور و اطلاعات مشتریان
  • دست‌کاری داده‌ها در پایگاه‌داده
  • اجرای دستورات دلخواه در سرور


محصولات تحت‌تأثیر
نسخه‌های ۱.۳.۶ و پایین‌تر افزونهHUSKY وردپرس آسیب‌پذیر می‌باشند.

توصیه امنیتی

  • اعمال به‌روزرسانی افزونه HUSKY  : به‌روزرسانی افزونه HUSKY به نسخه ۱.۳.۷ یا بالاتر.
  • نصب افزونه امنیتی: نصب یک افزونه امنیتی مانند Wordfence یا Sucuri Security جهت اسکن و شناسایی آسیب‌پذیری‌ها در وردپرس.
  • ایجاد نسخه پشتیبان از پایگاه‌داده: به طور مرتب از پایگاه‌داده خود نسخه پشتیبان تهیه کنید تا در صورت حمله بتوانید آن را بازیابی کنید.


منابع خبر:


[1]    https://nvd.nist.gov/vuln/detail/CVE-2024-6457
[2]    https://plugins.trac.wordpress.org/browser/woocommerce-products-filter/trunk/ext/by_author/index.ph…
[3]    https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-6457