یک آسیبپذیری با شناسه CVE-2024-9627 و شدت 8.6 (بحرانی) در Telegram Bot for WordPress شناسایی شده است. مهاجم میتواند به دلیل عدم بررسی مجوزها در تابع service_process، به اطلاعات حساس درسیستم دسترسی پیدا کند و توکن ربات تلگرام را مشاهده کنند، که یک توکن محرمانه برای کنترل ربات است. بر اساس بردار حمله این آسیبپذیری CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:L: بهرهبرداری از آن از طریق شبکه خارجی و از راه دور انجام میشود (AV:N/AC:L)، این حمله به سطح دسترسی خاصی نیاز ندارد و بدون تایید کاربرانجام میشود(PR:N/UI:N)، بهرهبرداری از آسیبپذیری مذکور بر سایر منابع امنیتی تأثیر نمیگذارد (S:U)، این نقص امنیتی محرمانگی را با شدت بالا تحت تاثیر قرار میدهد ولی تاثیر چندانی بر یکپارچگی و دسترسی سیستم ندارد.(C:H/I:L/A:L)
محصولات تحت تأثیر
این آسیبپذیری تمام نسخه ها را تا نسخه 1.3 تحت تاثیر قرار میدهد.
توصیه امنیتی
تا به حال هیچ راهکاری جهت رفع این آسیبپذیری ارائه نشده است .
منبع خبر:
- 65