آسیبپذیری با شناسه CVE-2023-51469 و شدت بحرانی (9.3) بصورت SQL Injection در افزونه Checkout Mestres WP کشف شده است. مهاجم با بهرهبرداری از این نقص امنیتی میتواند کد مخرب خود را در سیستم قربانی تزریق کند و مستقیماً به پایگاه داده دسترسی داشته باشد.
بر اساس بردار حمله این آسیبپذیری (AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:L)، بهرهبرداری از آن از طریق شبکه خارجی و از راه دور امکانپذیر است (AV:N) و نیازمند هیچ پیشزمینهای نبوده و بهراحتی قابل تکرار است و چندان به شرایط خاصی نیاز نیست (AC:L). برای انجام حمله به هیچ حساب کاربری با سطح دسترسی خاصی نیاز نیست (PR:N) و مهاجم به تعامل با کاربر نیز نیاز ندارد (UI:N). بهرهبرداری از نقص امنیتی مذکور بر سایر منابع امنیتی تأثیر میگذارد (S:C) و یک ضلع از سه ضلع امنیت با شدت بسیار زیاد و ضلع دیگر نیز به با شدت بالایی تحت تأثیر قرار میگیرند.
محصولات تحت تأثیر
نسخه 7.1.9.6 افزونه وردپرس Checkout Mestres WP تحت تأثیر این آسیبپذیری قرار دارد.
توصیههای امنیتی
تاکنون اطلاعاتی در خصوص اقدامات امنیتی که منجر به کاهش تأثیرات ناشی از آسیبپذیری مذکور شود ارائه نشده است، اما تا انتشار وصله امنیتی به کاربران پیشنهاد میشود که موقتأ افزونه آسیبپذیر را با محصول دیگری جایگزین کنید.
منابع خبر:
[1] https://vuldb.com/?id.249423
[2]https://patchstack.com/database/vulnerability/checkout-mestres-wp/wordpress-checkout-mestres-wp-plu…
- 50