یک آسیبپذیری با شناسه CVE-2024-6457 و شدت ۹.۸ (بحرانی) در افزونهHUSKY وردپرس که افزونهای جهت فیلتر کردن محصولات در WooCommerce میباشد، کشف شده است. آسیبپذیری مذکور نوعی تزریق کد SQL مبتنی بر زمان است که با استفاده از پارامتر woof_author رخ میدهد و این امکان را برای مهاجم احراز هویت نشده فراهم میکند تا کوئریهای SQL اضافی را به کوئریهای موجود اضافه کند که میتواند منجر به استخراج اطلاعات حساس از پایگاهداده شود.
مهاجمان میتوانند از این آسیبپذیری برای موارد زیر بهرهبرداری کنند:
- سرقت اطلاعات حساس از پایگاهداده، مانند نام کاربری، رمز عبور و اطلاعات مشتریان
- دستکاری دادهها در پایگاهداده
- اجرای دستورات دلخواه در سرور
محصولات تحتتأثیر
نسخههای ۱.۳.۶ و پایینتر افزونهHUSKY وردپرس آسیبپذیر میباشند.
توصیه امنیتی
- اعمال بهروزرسانی افزونه HUSKY : بهروزرسانی افزونه HUSKY به نسخه ۱.۳.۷ یا بالاتر.
- نصب افزونه امنیتی: نصب یک افزونه امنیتی مانند Wordfence یا Sucuri Security جهت اسکن و شناسایی آسیبپذیریها در وردپرس.
- ایجاد نسخه پشتیبان از پایگاهداده: به طور مرتب از پایگاهداده خود نسخه پشتیبان تهیه کنید تا در صورت حمله بتوانید آن را بازیابی کنید.
منابع خبر:
[1] https://nvd.nist.gov/vuln/detail/CVE-2024-6457
[2] https://plugins.trac.wordpress.org/browser/woocommerce-products-filter/trunk/ext/by_author/index.ph…
[3] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-6457
- 65