آسیبپذیری بحرانی CVE-2017-20206 در افزونه Appointments وردپرس یک آسیبپذیی بحرانی با شدت (9.8 از 10) از نوع PHP Object Injection در افزونه Appointments برای وردپرس است که این نقص امنیتی به مهاجم اجازه میدهد با ارسال دادههای مخرب از طریق کوکی wpmudev_appointments، اشیاء مخرب PHP را تزریق کرده و کنترل سیستم را بهدست گیرد. مهاجم میتواند از طریق شبکه عمومی (AV:N)، با پیچیدگی پایین (AC:L)، بدون نیاز به احراز هویت (PR:N) و بدون تعامل کاربر (UI:N) حملهای با تأثیر بالا بر محرمانگی (C:H)، یکپارچگی (I:H) و دسترسیپذیری (A:H) سیستم انجام دهد. دامنه اثر محدود به مؤلفه هدف است (S:U)، اما پیامدهای آن میتواند بحرانی باشد.
افزونه Appointments وردپرس نسخههای تا 2.2.1
- حذف یا بهروزرسانی افزونه Appointments به نسخهای امنتر
- بررسی فایلهای پشتیبان برای وجود backdoor های احتمالی
- استفاده از افزونههای امنیتی مانند Wordfence برای اسکن و نظارت
- محدودسازی دسترسی به کوکیهای ناشناس یا غیرمعتبر
- اجرای تستهای نفوذ دورهای بر سایت وردپرس
منبع خبر
- 26