کشف آسیب‌پذیری تزریق اشیاء در افزونه Events Calendar Pro وردپرس

کشف آسیب‌پذیری تزریق اشیاء در افزونه Events Calendar Pro وردپرس

تاریخ ایجاد

The Events Calendar Pro یکی از افزونه‌های سیستم مدیریت محتوای وردپرس است که برای ایجاد، سازماندهی، نمایش تقویم و رویدادها استفاده می‌شود. نسخه‌ی ۷.۰.۲ این افزونه و تمام نسخه‌های قبل از آن به دلیل عدم اعتبارسنجی صحیح داده‌های ورودی کاربر دارای آسیب‌پذیری تزریق شیء php با شناسه CVE-2024-8016 و شدت ۹.۱ هستند.
این آسیب‌پذیری زمانی رخ می‌دهد که مهاجم احرازهویت شده با سطح دسترسی مدیر یا بالاتر یک شیء PHP را به عنوان ورودی توسط پارامتر filters به تابع ()unserialize در PHP ارسال کند. وجود یک زنجیره POP امکان اجرای کد از راه دور را برای مهاجم فراهم می‌کند. هر‌گاه این افزونه به همراه افزونه Elementor نصب گردد کاربران با سطح دسترسی contributor و بالاتر نیز می‌توانند از این آسیب‌پذیری بهره‌برداری کنند.

محصولات تحت تاثیر
نسخه‌ی ۷.۰.۲ و تمام نسخه‌‌های قبل از آن

توصیه‌های امنیتی
به کاربران توصیه می‌شود افزونه را به نسخه7.0.2.1  به‌روزرسانی کنند.

منبع خبر:

https://www.cve.org/CVERecord?id=CVE-2024-8016