یک آسیبپذیری به نام information disclosure و با شناسه CVE-2024-24845 و شدت متوسط (5.3) در افزونه Sewpafly Post Thumbnail Editor وردپرس کشف شده است که مهاجم احرازهویت نشده با بهرهبرداری از آن میتواند به اطلاعات حساس دسترسی پیدا کند.
بر اساس بردار حمله این آسیبپذیری (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N) بهرهبرداری از آن از طریق شبکه خارجی و از راه دور امکانپذیر میباشد (AV: N) و نیازمند هیچ پیشزمینهای نبوده، همچنین بهراحتی قابل تکرار است و به شرایط خاصی نیاز ندارد (AC: L)، مهاجم برای انجام حمله به حساب کاربری با سطح دسترسی پایین یا بالا و تعامل با کاربر نیاز ندارد (PR: N)(UI: N)، بهرهبرداری از نقص امنیتی مذکور بر سایر منابع امنیتی تأثیر نمیگذارد (S: U) و یک ضلع از سه ضلع امنیت با شدت پایین تحت تأثیر قرار میگیرد.
محصولات تحت تأثیر
این نقص تمام نسخههای موجود تا نسخه 2.4.8 را تحت تأثیر قرار میدهد.
توصیههای امنیتی
تاکنون اطلاعاتی در خصوص اقدامات امنیتی که منجر به کاهش تأثیرات ناشی از آسیبپذیری مذکور شود ارائه نشده است.
منبع خبر:
- 27