یک آسیبپذیری با شناسه CVE-2024-10952 و شدت 7.3 (بالا) در افزونه The Authors List برای WordPress شناسایی شده است. مهاجم با بهرهبرداری از update_authors_list_ajax AJAX میتواند کد دلخواه (RCE) را اجرا کند. این آسیبپذیری زمانی ایجاد میشود که کاربران قبل از اجرای do_shortcode فعالیتی را انجام دهند که منجر به اجرای کدهای مخرب شود.
بر اساس بردار حمله این آسیبپذیری CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L بهرهبرداری از آن از طریق شبکه خارجی و با پیچیدگی کم قابل تکرار است (AV:N/AC:L)، این حمله بدون نیاز به سطح دسترسی اولیه و بدون تعامل با کاربر انجام میشود (PR:N/UI:N)، بهرهبرداری از آسیبپذیری مذکور بر سایر منابع امنیتی تأثیری نمیگذارد (S:U) و سه ضلع امنیت را با شدت پایین تحت تأثیر قرار میدهد (C:L/I:L/A:L).
محصولات تحت تأثیر
نسخه 2.0.4 و نسخههای قبلتر افزونه The Authors List تحت تاثیر این آسیبپذیری قرار گرفته است.
توصیه امنیتی
به کاربران توصیه میشود جهت جلوگیری از حملات RCE، اقدامات زیر را انجام دهید:
• اعتبار سنجی و بررسی ورودیها
• محدود کردن کاربرها به ویژه در دسترسی به سیستم
• استفاده از رمزنگاریهای ایمن
• لاگگیری و مانیتورینگ
چنانچه وصلهای جهت نسخههای آسیبپذیر منتشر شد، در اسرع وقت به روزرسانی صورت گیرد.
منابع خبر:
[1]https://nvd.nist.gov/vuln/detail/CVE-2024-10952
[2]https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/authors-list/authors-list-…
- 119