آسیبپذیری CVE-2020-36847 با شدت 9.8، مربوط به افزونهی Simple File List در سیستم مدیریت محتوای وردپرس است. این آسیبپذیری تا نسخهی 4.2.2 این افزونه وجود دارد و به مهاجم اجازه اجرای کد از راه دور (Remote Code Execution) را میدهد. این نقص از طریق تابع rename در افزونه قابل سوءاستفاده است؛ به این صورت که میتوان فایل PHP آپلود شده با پسوند PNG را به پسوند PHP تغییر نام داد.
محصولات تحت تأثیر
- محصول تحت تأثیر این آسیبپذیری، افزونهی Simple File List برای وردپرس در نسخهی 4.2.2 و قبل از آن میباشد.
توصیههای امنیتی
- بهروزرسانی افزونه: نصب آخرین نسخه افزونه که این آسیبپذیری در آن برطرف شده است.
- استفاده از ابزارهای امنیتی: نصب و پیکربندی سیستمهای تشخیص و جلوگیری از نفوذ (IDS/IPS) برای شناسایی و مسدودسازی حملات احتمالی.
- پیکربندی صحیح سرور: تنظیمات امنیتی وبسرور و وردپرس باید بهگونهای باشد که امکان اجرای کدهای مخرب به حداقل برسد.
منبع خبر:
- 18