Guest Entries یک کتابخانه در PHP است که به کاربران این امکان را میدهد تا ورودیها را در front-end یک سایت ایجاد، بهروزرسانی و حذف کنند. یک آسیبپذیری در Guest Entries با شناسه CVE-2023-47621 و شدت 8.8 شناسایی شد که بهدلیل عدم بررسی ویژگی آپلود فایل (file uploads feature)، از بارگذاری فایلهای PHP جلوگیری نکرده و امکان اجرای کد از راه دور را بر روی سرور برای مهاجم احرازهویت شده فراهم میآورد. عدم بررسی ورودی نامعتبر و ناشناخته و جلوگیری از انتشار آن، منجر به آسیبپذیری آپلود نامحدود فایل میشود و به مهاجم اجازه می دهد تا فایلهای مخرب را آپلود کند و یا انتقال دهد که میتوانند به طور خودکار در محصول پردازش شوند. این آسیبپذیری محرمانه بودن، یکپارچگی و در دسترس بودن دادهها را تحت تأثیر قرار میدهد.
محصولات تحت تأثیر
آسیبپذیری مذکور، بسته doublethreedigital/guest-entries (Composer) و duncanmcclean/guest-entries (Composer) نسخه قبل از 3.1.2 را تحت تاثیر قرار میدهد.
توصیههای امنیتی
توصیه میشود کاربران در اسرع وقت نسبت به ارتقاء Guest Entries به نسخه 3.1.2 اقدام نمایند.
منبع خبر:
- 25