یک آسیبپذیری با شناسه CVE-2024-7291 و شدت 7.2 در افزونه JetFormBuilder کشف شده است. JetFormBuilder یک پلاگین فرمساز برای وردپرس است که به کاربران و توسعه دهندگان قابلیتهای متنوعی از جمله ایجاد فرمهای چندمرحلهای، فرمهای سفارشی، ادغام با سرویسهای مختلف و تنظیمات پیشرفته برای فیلدهای فرم را ارائه میدهد. این آسیبپذیری به دلیل محدودیت نامناسب در فیلدهای متای کاربر رخ میدهد و منجر به ارتقاء سطح دسترسی مهاجم میگردد. در سایتهایی که به صورت شبکهای پیکربندی شدهاند امکان ثبتنام مهاجم احراز هویتشده با سطح دسترسی مدیر بهعنوان کاربری با سطح دسترسی بالاتر از مدیر را فراهم میکند.
براساس بردار حمله این آسیبپذیری AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H پیچیدگی حمله پایین است و مهاجم میتواند از راه دور حمله را انجام دهد. بهرهبرداری از این آسیبپذیری نیازمند دسترسی به سطح بالایی از مجوزها است. آسیبپذیری تأثیر بالایی بر محرمانگی دارد، مهاجم میتواند به اطلاعات حساس دسترسی پیدا کند و دادهها را دستکاری کند. بنابراین میتواند تأثیرات شدیدی بر محرمانگی، یکپارچگی، و دسترسپذیری سیستم داشته باشد.
محصولات تحت تأثیر
این آسیبپذیری نسخه 3.3.4.1 و تمام نسخههای قبلی افزونه JetFormBuilder را تحت تاثیر قرار میدهد.
توصیههای امنیتی
به کاربران توصیه میشود افزونه را به نسخه 3.3.4.2 بهروزرسانی کنند.
منابع خبر:
[1] https://nvd.nist.gov/vuln/detail/CVE-2024-7291
[2] https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/jetformbuilder/jetformbuil…
- 35