یک آسیبپذیری با شناسه CVE-2024-4014 و شدت متوسط (6.4) در افزونه hCaptcha وردپرس شناسایی شده است. این افزونه از طریق cf7-hcaptcha shortcode در برابر Stored Cross-Site Scripting آسیبپذیر است. مهاجم احرازهویت شده با سطح دسترسی پایین با بهرهبرداری از این نقص میتواند اسکریپتهای دلخواه را در صفحات وب تزریق کند و در نتیجه آن، هر زمان که کاربر از صفحه آسیبدیده بازدید کند، اسکریپتهای مخرب اجرا میشوند.
بر اساس بردار حمله این آسیبپذیریها CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N بهرهبرداری از آنها از طریق شبکه خارجی و از راه دور امکانپذیر است (AV:N) و نیازمند پیشزمینه نبوده و بهراحتی قابل تکرار است و به شرایط خاصی نیاز نیست(AC: L)، برای انجام حمله به حساب کاربری با سطح دسترسی کم نیاز است (PR: L) و به تعامل کاربر نیاز ندارند (UL:N)، بهرهبرداری از آسیبپذیریهای مذکور بر سایر منابع امنیتی تأثیر میگذارد (S: C) و دو ضلع از سه ضلع امنیت با شدت کمی تحت تأثیر قرار میگیرند (C:L/I:L/A:N).
محصولات تحت تأثیر
این آسیبپذیری نسخههای قبل از 4.0.1 افزونه مذکور را تحت تأثیر قرار میدهد.
توصیههای امنیتی
توصیه میشود کاربران افزونه خود را در اسرع وقت به نسخه 4.0.1 بهروزرسانی کنند.
منبع خبر:
https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/hcaptcha-for-forms-and-mor…
- 68