کشف آسیب‌پذیری در word press

کشف آسیب‌پذیری در word press

تاریخ ایجاد

یک آسیب‌پذیری با شناسه CVE-2024-9162 و شدت 7.2 (بالا) در All-in-One WP Migration and Backup کشف شده است.این افزونه از وردپرس در برابر تزریق کد PHP آسیب‌پذیر است. این نقص امنیتی به دلیل عدم تأیید اعتبار نوع فایل،هنگام ارسال در سیستم ایجاد می‌شود واین امکان برای مهاجم فراهم می‌باشد که با دسترسی در سطح Administrator و بالاتر، یک فایل با پسوند "php." در سرور سایت ایجاد کند و یک کد PHP دلخواه به آن اضافه کنند. براساس بردار حمله این آسیب‌پذیری CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H: بهره‌برداری از آن ازطریق شبکه خارجی و از راه دور امکان‌پذیر است (AV:N) و به‌ راحتی قابل تکرار است چندان به شرایط خاصی نیاز نیست(AC:L)، مهاجم برای انجام حمله نیاز به حساب کاربری با سطح دسترسی بالایی می‌باشد (PR:H) و به تعامل با کاربر نیاز ندارد (UI:N)، بهره‌برداری از آسیب‌پذیری مذکور بر سایر منابع امنیتی تأثیر نمی‌گذارد (S:U)، هر سه ضلع امنیت با شدت بالا تحت تأثیر قرار می‌گیرند.( C:H/I:H/A:H)

محصولات تحت تأثیر


 این آسیب‌پذیری تمام نسخه ها از 7.86 را تحت تاثیر قرار می‌دهد.

توصیه امنیتی


به کاربران توصیه می‌شود در اسرع وقت نسخه های آسیب‌پذیر را به نسخه های جدید تر به روزرسانی کنند.



منبع خبر:


https://nvd.nist.gov/vuln/detail/CVE-2024-9162