یک آسیبپذیری با شناسه CVE-2024-3549 و شدت 9.9 در افزونه Post & Scheduler کشف شده است،کاربران جهت زمانبندی یکپارچه پستها، از این افزونه استفاده میکنند. مهاجم میتواند از طریق این آسیبپذیری، از طریق پارامتر b2sSortPostType منجر به تزریق کد از راه دور شود و پس از احرازهویت وی، این امکان برای او فراهم خواهد شد تا SQL query دیگری را به queryهای موجود اضافه و از این طریق، اطلاعات حساس را از پایگاه داده استخراج کند.
براساس بردار حمله این آسیبپذیری AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H: بهرهبرداری از آن از طریق شبکه خارجی و از راه دور امکانپذیر است (AV:N) و نیازمند هیچ پیشزمینهای نبوده و بهراحتی قابل تکرار است و چندان به شرایط خاصی نیاز نیست (AC:L)، مهاجم برای انجام حمله نیاز به حساب کاربری با سطح دسترسی پایین میباشد (PR:L)، و به تعامل با کاربر نیاز ندارد (UI:N)، بهرهبرداری از آسیبپذیری مذکور بر سایر منابع امنیتی تأثیر میگذارد (S:C) و هر سه ضلع امنیت با شدت بالایی تحت تأثیر قرار میگیرند (C:H/I:H/A:H).
محصولات تحت تأثیر
این آسیبپذیری همه نسخههای افزونه Geo Directory- Busines از جمله نسخه 7.4.1 را تحت تاثیر قرار میدهد.
توصیههای امنیتی
به کاربران توصیه میشود در اسرع وقت، افزونه خود را به نسخه 7.4.2 بهروزرسانی کنند.
منابع خبر:
[1] https://nvd.nist.gov/vuln/detail/CVE-2024-3549
[2] https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/blog2social/blog2social-so…
- 56