یک آسیبپذیری بحرانی با شناسه CVE-2024-10729 و شدت 8.8 در افزونه WooCommerce برای صفحات WordPress کشف شده است.این نقص امنیتی به دلیل عدم قابلیتی جهت بررسی 'save_google_calendar_data' در برابر تغییرات غیرمجاز دادهها رخ میدهد. این امکان را برای مهاجمان فراهم است با مجوزهای سطح مشترک یا بالاتر، ویژگیهای سایت را خودسرانه به روز کنند.
بر اساس بردار جمله این آسیبپذیری CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H: بهرهبرداری از آن از طریق شبکه خارجی و با پیچیدگی کم قابل تکرار است(AV:N/AC:L)، این حمله با سطح دسترسی اولیه و بدون تایید کاربر انجام میشود(PR:L/UI:N)، بهرهبرداری از آسیبپذیری مذکور بر سایر منابع امنیتی تأثیر نمیگذارد(S:U)، این آسیبپذیری سه ضلع امنیت را با شدت بالا تحت تاثیر قرار می دهد(C:H/I:H/A:H)
محصولات تحت تأثیر
تمام نسخههای این افزونه از جمله نسخه 6.9 تحت تاثیر این آسیبپذیری قرار گرفتهاند.
توصیه امنیتی
به کاربران توصیه میشود در اسرع وقت نسخههای آسیبپذیرر را به نسخه بالاتر خود 6.10 ارتقاء دهند.
منابع خبر:
[1]https://nvd.nist.gov/vuln/detail/CVE-2024-10729
[2]https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/woocommerce-booking/bookin…
- 44