The Events Calendar Pro یکی از افزونههای سیستم مدیریت محتوای وردپرس است که برای ایجاد، سازماندهی، نمایش تقویم و رویدادها استفاده میشود. نسخهی ۷.۰.۲ این افزونه و تمام نسخههای قبل از آن به دلیل عدم اعتبارسنجی صحیح دادههای ورودی کاربر دارای آسیبپذیری تزریق شیء php با شناسه CVE-2024-8016 و شدت ۹.۱ هستند.
این آسیبپذیری زمانی رخ میدهد که مهاجم احرازهویت شده با سطح دسترسی مدیر یا بالاتر یک شیء PHP را به عنوان ورودی توسط پارامتر filters به تابع ()unserialize در PHP ارسال کند. وجود یک زنجیره POP امکان اجرای کد از راه دور را برای مهاجم فراهم میکند. هرگاه این افزونه به همراه افزونه Elementor نصب گردد کاربران با سطح دسترسی contributor و بالاتر نیز میتوانند از این آسیبپذیری بهرهبرداری کنند.
محصولات تحت تاثیر
نسخهی ۷.۰.۲ و تمام نسخههای قبل از آن
توصیههای امنیتی
به کاربران توصیه میشود افزونه را به نسخه7.0.2.1 بهروزرسانی کنند.
منبع خبر:
- 63