کشف آسیب‌پذیری در WordPress

کشف آسیب‌پذیری در WordPress

تاریخ ایجاد

یک آسیب‌پذیری با شناسه CVE-2024-9627 و شدت 8.6 (بحرانی) در Telegram Bot for  WordPress شناسایی شده است. مهاجم می‌تواند به دلیل عدم بررسی مجوزها در تابع service_process، به اطلاعات حساس درسیستم دسترسی پیدا کند و توکن ربات تلگرام را مشاهده کنند، که یک توکن محرمانه برای کنترل ربات است.
بر اساس بردار حمله این آسیب‌پذیری CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:L: بهره‌برداری از آن از طریق شبکه خارجی و از راه دور انجام می‌شود (AV:N/AC:L)، این حمله به سطح دسترسی خاصی نیاز ندارد و بدون تایید کاربرانجام می‌شود(PR:N/UI:N)، بهره‌برداری از آسیب‌پذیری مذکور بر سایر منابع امنیتی تأثیر نمی‌گذارد (S:U)، این نقص امنیتی محرمانگی را با شدت بالا تحت تاثیر قرار می‌دهد ولی تاثیر چندانی بر یکپارچگی و دسترسی سیستم ندارد.(C:H/I:L/A:L)

 

محصولات تحت تأثیر


این آسیب‌پذیری تمام نسخه ها  را تا نسخه 1.3 تحت تاثیر قرار می‌دهد.

 

توصیه امنیتی


تا به حال هیچ راهکاری جهت رفع این آسیب‌پذیری ارائه نشده است .
 

منبع خبر:

 


https://nvd.nist.gov/vuln/detail/CVE-2024-9627