Ultimate Bootstrap Elements for Elementor یک افزونه وردپرس با رابط کاربری ساده برای طراحی سایت است. به تازگی یک آسیبپذیری با شناسه CVE-2024-1398 و شدت متوسط (6.4) در این افزونه کشف شده است. این نقص امنیتی از نوع حملات Script injection(xss) میباشد که از طریق پارامترهای "heading_title_tag" و "heading_sub_title_tag" دستگاه کاربر را تحت تأثیر قرار میدهد. با بهرهبرداری از این نقص این امکان برای مهاجمان احراز هویت شده با دسترسیهای سطح مشارکت کننده و بالاتر فراهم میشود تا اسکریپت وب دلخواه را در صفحاتی تزریق کنند که هر زمان که کاربر به صفحه تزریق شده دسترسی پیدا کند اجرا شوند.
بر اساس بردار حمله این آسیبپذیری (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N) بهرهبرداری از طریق شبکه خارجی و از راه دور امکانپذیر است (AV:N) ، نیازمند هیچ پیشزمینهای نبوده و بهراحتی قابل تکرار است و چندان به شرایط خاصی نیاز نیست (AC:L) برای انجام حمله به حساب کاربری با سطح دسترسی پایین نیاز است (PR: L) ، به تعامل با کاربر نیز نیاز ندارد (UI:N) ، بهرهبرداری از نقص امنیتی مذکور بر سایر منابع امنیتی تأثیر میگذارد (S: C) و با بهرهبرداری از آن، دو ضلع از سه ضلع امنیت با شدت کم تحت تأثیر قرار میگیرد.
محصولات تحت تأثیر
تمام نسخههای قبل از نسخه 1.3.6 و حتی خود این نسخه در برابر نقص امنیتی مذکور، آسیبپذیر هستند.
منبع خبر:
- 38