وردپرس چندین آسیبپذیری در افزونههای خود منتشر کرد:
• آسیبپذیری با شناسه CVE-2024-24866 و شدت بالا 7.1 در افزونه Biteship وردپرس بهدلیل خنثیسازی نامناسب ورودی حین تولید صفحه وب امکان Reflected XSS را برای مهاجم فراهم میآورد. در این آسیبپذیری مهاجم میتواند اسکریپتهای مخرب مانند تغییر مسیر، تبلیغات و سایر پیلودهای HTML را به وبسایت تزریق تا در هنگام بازدید وبسایت توسط مهمانان اجرا شوند.
• آسیبپذیری با شناسه CVE-2024-24846 و شدت بالا 7.1 در افزونه Mighty Addons for Elementor وردپرس بهدلیل خنثیسازی نامناسب ورودی حین تولید صفحه وب امکان Reflected XSS را برای مهاجم فراهم میآورد. در این آسیبپذیری مهاجم میتواند اسکریپتهای مخرب مانند تغییر مسیر، تبلیغات و سایر پیلودهای HTML را به وبسایت تزریق تا در هنگام بازدید وبسایت توسط مهمانان اجرا شوند.
• آسیبپذیری با شناسه CVE-2024-24847 و شدت بالا 7.1 در افزونه CalculatorPro Calculators وردپرس بهدلیل خنثیسازی نامناسب ورودی حین تولید صفحه وب امکان Reflected XSS را برای مهاجم فراهم میآورد. در این آسیبپذیری مهاجم میتواند اسکریپتهای مخرب مانند تغییر مسیر، تبلیغات و سایر پیلودهای HTML را به وبسایت تزریق تا در هنگام بازدید وبسایت توسط مهمانان اجرا شوند.
• آسیبپذیری با شناسه CVE-2024-24848 و شدت بالا 7.1 در افزونه PT Sign Ups وردپرس بهدلیل خنثیسازی نامناسب ورودی حین تولید صفحه وب امکان Stored XSS را برای مهاجم فراهم میآورد. در این آسیبپذیری مهاجم میتواند اسکریپتهای مخرب مانند تغییر مسیر، تبلیغات و سایر پیلودهای HTML را به وبسایت تزریق تا در هنگام بازدید وبسایت توسط مهمانان اجرا شوند.
محصولات تحت تأثیر
این آسیبپذیری محصول وردپرس (WordPress) شامل افزونههایBiteship نسخه 2.2.24 و قبلتر، Mighty Addons for Elementor نسخه 1.9.3 و قبلتر، CalculatorPro Calculators نسخه 1.1.7 و قبلتر و PT Sign Ups نسخه 1.0.4 و قبلتر را تحت تاثیر قرار میدهد.
توصیههای امنیتی
توصیه میشود کاربران در اسرع وقت نسبت به ارتقاء افزونهBiteship به نسخه 2.2.25 اقدام نمایند. برای سایر افزونهها در حال حاضر نسخه وصله شدهای وجود ندارد.
منابع خبر:
[1]https://patchstack.com/database/vulnerability/biteship/wordpress-biteship-plugin-2-2-24-reflected-c…
[2]https://patchstack.com/database/vulnerability/mighty-addons/wordpress-mighty-addons-for-elementor-p…
[3]https://patchstack.com/database/vulnerability/calculatorpro-calculators/wordpress-calculatorpro-cal…
[4]https://patchstack.com/database/vulnerability/ptoffice-sign-ups/wordpress-pt-sign-ups-plugin-1-0-4-…
- 43