کشف آسیب‌پذیری در افزونه Redux

کشف آسیب‌پذیری در افزونه Redux

تاریخ ایجاد

آسیب‌پذیری با شناسه CVE-2024-6828 و امتیاز ۷.۲ در افزونه Redux Framework وردپرس شناسایی شده است. این آسیب‌پذیری به دلیل عدم بررسی مجوزها و قابلیت‌ها در تابع Redux_Color_S+cheme_Import رخ می‌دهد و امکان بارگذاری فایل‌های JSON بدون احراز هویت را فراهم می‌کند. این نقص امنیتی به مهاجمان احراز هویت نشده اجازه می‌دهد تا فایل‌های JSON را بارگذاری کنند که می‌تواند برای انجام حملات XSS ذخیره‌شده مورداستفاده قرار گیرد. همچنین، در برخی موارد نادر، زمانی که wp_filesystem نتواند به‌درستی راه‌اندازی شود، این آسیب‌پذیری می‌تواند به اجرای کد از راه دور منجر شود.

محصولات تحت‌تأثیر
نسخه‌های ۴.۴.۱۲ تا ۴.۴.۱۷ تحت تاثیر این آسیب‌پذیری قرار دارند.

توصیه‌های امنیتی
به‌روزرسانی افزونه به آخرین نسخه ارائه‌شده توسط توسعه‌دهندگان توصیه می‌شود.

منابع خبر:


[1]    https://nvd.nist.gov/vuln/detail/CVE-2024-6828
[2]    https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/redux-framework/redux-fram…