آسیب‌پذیری XSS در وردپرس

آسیب‌پذیری XSS در وردپرس

تاریخ ایجاد

وردپرس چندین آسیب‌پذیری در افزونه‌های خود منتشر کرد:
•    آسیب‌پذیری با شناسه CVE-2024-24866 و شدت بالا 7.1 در افزونه Biteship  وردپرس به‌دلیل خنثی‌سازی نامناسب ورودی حین تولید صفحه وب امکان Reflected XSS را برای مهاجم فراهم می‌آورد. در این آسیب‌پذیری مهاجم می‌تواند اسکریپت‌های مخرب مانند تغییر مسیر، تبلیغات و سایر پیلود‌های HTML را به وب‌سایت تزریق تا در هنگام بازدید وب‌سایت توسط مهمانان اجرا شوند.
•    آسیب‌پذیری با شناسه CVE-2024-24846 و شدت بالا 7.1 در افزونه Mighty Addons for Elementor وردپرس به‌دلیل خنثی‌سازی نامناسب ورودی حین تولید صفحه وب امکان Reflected XSS را برای مهاجم فراهم می‌آورد. در این آسیب‌پذیری مهاجم می‌تواند اسکریپت‌های مخرب مانند تغییر مسیر، تبلیغات و سایر پیلود‌های HTML را به وب‌سایت تزریق تا در هنگام بازدید وب‌سایت توسط مهمانان اجرا شوند.
•    آسیب‌پذیری با شناسه CVE-2024-24847 و شدت بالا 7.1 در افزونه  CalculatorPro Calculators وردپرس به‌دلیل خنثی‌سازی نامناسب ورودی حین تولید صفحه وب امکان Reflected XSS را برای مهاجم فراهم می‌آورد. در این آسیب‌پذیری مهاجم می‌تواند اسکریپت‌های مخرب مانند تغییر مسیر، تبلیغات و سایر پیلود‌های HTML را به وب‌سایت تزریق تا در هنگام بازدید وب‌سایت توسط مهمانان اجرا شوند.
•    آسیب‌پذیری با شناسه CVE-2024-24848 و شدت بالا 7.1 در افزونه  PT Sign Ups وردپرس به‌دلیل خنثی‌سازی نامناسب ورودی حین تولید صفحه وب امکان Stored XSS را برای مهاجم فراهم می‌آورد. در این آسیب‌پذیری مهاجم می‌تواند اسکریپت‌های مخرب مانند تغییر مسیر، تبلیغات و سایر پیلود‌های HTML را به وب‌سایت تزریق تا در هنگام بازدید وب‌سایت توسط مهمانان اجرا شوند.

محصولات تحت تأثیر
این آسیب‌پذیری محصول وردپرس (WordPress) شامل افزونه‌هایBiteship  نسخه 2.2.24 و قبل‌تر، Mighty Addons for Elementor  نسخه 1.9.3 و قبل‌تر، CalculatorPro Calculators  نسخه 1.1.7 و قبل‌تر و PT Sign Ups نسخه 1.0.4 و قبل‌تر را تحت تاثیر قرار می‌دهد. 

توصیه‌های امنیتی
توصیه می‌شود کاربران در اسرع وقت نسبت به ارتقاء افزونهBiteship  به نسخه 2.2.25 اقدام نمایند. برای سایر افزونه‌ها در حال حاضر نسخه وصله شده‌ای وجود ندارد. 

منابع خبر:


[1]https://patchstack.com/database/vulnerability/biteship/wordpress-biteship-plugin-2-2-24-reflected-c…
[2]https://patchstack.com/database/vulnerability/mighty-addons/wordpress-mighty-addons-for-elementor-p…
[3]https://patchstack.com/database/vulnerability/calculatorpro-calculators/wordpress-calculatorpro-cal…
[4]https://patchstack.com/database/vulnerability/ptoffice-sign-ups/wordpress-pt-sign-ups-plugin-1-0-4-…