آسیبپذیری با شناسه CVE-2024-6828 و امتیاز ۷.۲ در افزونه Redux Framework وردپرس شناسایی شده است. این آسیبپذیری به دلیل عدم بررسی مجوزها و قابلیتها در تابع Redux_Color_S+cheme_Import رخ میدهد و امکان بارگذاری فایلهای JSON بدون احراز هویت را فراهم میکند. این نقص امنیتی به مهاجمان احراز هویت نشده اجازه میدهد تا فایلهای JSON را بارگذاری کنند که میتواند برای انجام حملات XSS ذخیرهشده مورداستفاده قرار گیرد. همچنین، در برخی موارد نادر، زمانی که wp_filesystem نتواند بهدرستی راهاندازی شود، این آسیبپذیری میتواند به اجرای کد از راه دور منجر شود.
محصولات تحتتأثیر
نسخههای ۴.۴.۱۲ تا ۴.۴.۱۷ تحت تاثیر این آسیبپذیری قرار دارند.
توصیههای امنیتی
بهروزرسانی افزونه به آخرین نسخه ارائهشده توسط توسعهدهندگان توصیه میشود.
منابع خبر:
[1] https://nvd.nist.gov/vuln/detail/CVE-2024-6828
[2] https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/redux-framework/redux-fram…
- 73