یک آسیبپذیری با شناسه CVE-2024-5207 وشدت 7.2 (بالا) در افزونه SMTP (Advanced Email Logging و Delivery Failure Notifications ) وردپرس کشف شده است. از این افزونه میتوان به منظور کنترل کلیه عملکردهای مربوط به ایمیل در وبسایت استفاده کرد. مهاجم احراز هویتشده از طریق دستکاری querieهای SQL، میتواند اطلاعات حساس را از پایگاه داده استخراج کند. بر اساس بردار حمله این آسیبپذیری CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H: بهرهبرداری از آن از طریق شبکه خارجی و از راه دور امکانپذیر است (AV:N) و بهراحتی قابل تکرار است و چندان به شرایط خاصی نیاز نیست(AC:L)، مهاجم برای انجام حمله نیاز به حساب کاربری با سطح دسترسی بالایی میباشد (PR:H) و به تعامل با کاربر نیاز ندارد (UI:N)، بهرهبرداری از آسیبپذیری مذکور بر سایر منابع امنیتی تأثیر نمیگذارد (S:U) و در بدترین شرایط هر سه ضلع امنیت به میزان بالایی تحت تأثیر قرار میگیرند (C:H و I:H و A:H).
محصولات تحت تأثیر
همه نسخههای موجود از جمله نسخه 2.9.3 تحت تاثیر این آسیبپذیری قرار دارند.
توصیه امنیتی
تا به حال راهکاری جهت رفع این آسیبپذیری ارائه نشده است .
منبع خبر:
- 90