یک آسیبپذیری با شناسه CVE-2024-9162 و شدت 7.2 (بالا) در All-in-One WP Migration and Backup کشف شده است.این افزونه از وردپرس در برابر تزریق کد PHP آسیبپذیر است. این نقص امنیتی به دلیل عدم تأیید اعتبار نوع فایل،هنگام ارسال در سیستم ایجاد میشود واین امکان برای مهاجم فراهم میباشد که با دسترسی در سطح Administrator و بالاتر، یک فایل با پسوند "php." در سرور سایت ایجاد کند و یک کد PHP دلخواه به آن اضافه کنند. براساس بردار حمله این آسیبپذیری CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H: بهرهبرداری از آن ازطریق شبکه خارجی و از راه دور امکانپذیر است (AV:N) و به راحتی قابل تکرار است چندان به شرایط خاصی نیاز نیست(AC:L)، مهاجم برای انجام حمله نیاز به حساب کاربری با سطح دسترسی بالایی میباشد (PR:H) و به تعامل با کاربر نیاز ندارد (UI:N)، بهرهبرداری از آسیبپذیری مذکور بر سایر منابع امنیتی تأثیر نمیگذارد (S:U)، هر سه ضلع امنیت با شدت بالا تحت تأثیر قرار میگیرند.( C:H/I:H/A:H)
محصولات تحت تأثیر
این آسیبپذیری تمام نسخه ها از 7.86 را تحت تاثیر قرار میدهد.
توصیه امنیتی
به کاربران توصیه میشود در اسرع وقت نسخه های آسیبپذیر را به نسخه های جدید تر به روزرسانی کنند.
منبع خبر:
- 94