کشف آسیب‌پذیری WordPress plugin

یک آسیب‌پذیری با شناسه CVE-2024-9687 و شدت 8.8 (بالا) در WP 2FA with Telegram WordPress Plugin کشف شده است. این نقص امنیتی به دلیل تأیید ناکافی کلید کنترل شده توسط کاربر در عملکرد 'validate_tg' است. براساس بردار حمله این آسیب‌پذیری CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H:  بهره‌برداری از آن از طریق شبکه خارجی و از راه دور امکان‌پذیر است و چندان به شرایط خاصی نیاز نیست(AV:N/AC:L)، این حمله با سطح دسترسی اولیه و بدون تایید کاربرانجام می‌شود(PR:L/UI:N)، بهره‌‌‌برداری از آسیب‌پذیری مذکور بر سایر منابع امنیتی تأثیر نمی‌گذارد (S:C)، این آسیب‌پذیری سه ضلع امنیت را با شدت بالا تحت تاثیر قرار می‌دهد (C:H/I:H/A:H).
 

محصولات تحت تأثیر

تمام نسخه های 3.0 و قبل از آن تحت تاثیر این آسیب‌پذیری قرار گرفته‌اند.
 

توصیه امنیتی

به نسخه های 3.1 و بالا ارتقاء دهید.
 

منابع خبر:

[1]https://nvd.nist.gov/vuln/detail/CVE-2024-9687

[2]https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/two-factor-login-telegram/wp-2fa-with-telegram-30-authenticated-subscriber-authentication-bypass