یک آسیبپذیری با شناسه CVE-2024-1733 و شدت متوسط (5.3) در افزونه Word Replacer Pro وردپرس کشف شده است که به دلیل پیکربندی نادرست تابع word_replacer_ultra() در این افزونه، مهاجم احرازهویت نشده با بهرهبرداری از آن، توانایی بارگزاری و بهروزرسانی محتوانی دلخواه را در سایت وردپرس آسیبدیده دارد.
بر اساس بردار حمله این آسیبپذیری( (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N بهرهبرداری از آن از طریق شبکه خارجی و از راه دور امکانپذیر میباشد (AV: N) و نیازمند هیچ پیشزمینهای نبوده، همچنین بهراحتی قابل تکرار است و به شرایط خاصی نیاز ندارد (AC: L)، مهاجم برای انجام حمله به حساب کاربری با سطح دسترسی پایین یا بالا و تعامل با کاربر نیاز ندارد (PR: N)(UI: N)، بهرهبرداری از نقص امنیتی مذکور بر سایر منابع امنیتی تأثیر نمیگذارد (S: U) و یک ضلع از سه ضلع امنیت با شدت کم تحت تأثیر قرار میگیرد.
محصولات تحت تأثیر
نقص امنیتی مذکور کلیه نسخههای موجود تا نسخه 1.0 افزونه Word Replacer Pro را تحت تأثیر خود قرار میدهد.
توصیههای امنیتی
تاکنون اطلاعاتی در خصوص اقدامات امنیتی که منجر به کاهش یا رفع تأثیرات ناشی از آسیبپذیری مذکور شود ارائه نشده است.
منبع خبر:
- 25