پلاگین ثبت نام کاربر وردپرس، بدلیل وجود یک کلید رمزنگاری سخت و عدم اعتبارسنجی نوع فایل، در برابر آپلود فایل آسیب پذیر است. این آسیب پذیری با شناسه CVE-2023-3342 و امتیاز 9.9 ارزیابی شده است که بیش از 60000 نصب فعال دارد.
عدم اعتبارسنجی نوع فایل در عملکرد ur_upload_profile_pic، این پلاگین را در برابر آپلود فایل های ساختگی آسیب پذیر کرده است. مهاجم تایید هویت نشده می تواند، با قابلیت های مشترک یا بالاتر فایل های ساختگی، از جمله فایل¬های PHPرا در سرور سایت آسیب پذیر آپلود کند و منجر به اجرای کد از راه دور شود.
این آسیب پذیری تا نسخه 3.0.2 موجود و در نسخه 3.0.2.1برطرف شده است.
به کاربران توصیه می شود، تایید هویت دو مرحله ای را در وردپرس فعال کرده و رمزهای عبور را تغییر دهند، بخصوص اگر از همان ترکیب های اعتبار، در سایت های دیگر استفاده شده باشد. همچنین، توصیه می شود سایت هایشان را به آخرین نسخه وصله شده ثبت نام کاربر، به روز رسانی کنند.
منابع خبر
- 108