یک آسیبپذیری با شناسه CVE-2024-9990 و شدت 8.8 (بالا) در افزونه Crypto plugin for WordPress کشف شده است، که ناشی از یک نقص در مکانیزم اعتبارسنجی ورودی است.مهاجم با بهرهبرداری از این آسیبپذیری میتواند به دادههای حساس دسترسی داشته باشد و محتوای آن را تغییر دهد و در نهایت وب سایت را به طور کامل کنترل کند.
بر اساس بردار حمله این آسیبپذیری CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H: بهرهبرداری از آن از طریق شبکه خارجی و از راه دور امکانپذیر است (AV:N)، بهراحتی قابل تکرار است و چندان به شرایط خاصی نیاز ندارد(AC:L)، برای انجام حمله به هیچ حساب کاربری با سطح دسترسی خاصی نیاز نیست (PR:N) و به تعامل با کاربر نیاز دارد(UI:R)،هرهبرداری از آسیبپذیری مذکور بر سایر منابع امنیتی تأثیر نمیگذارد (S:U)، هر سه ضلع امنیت به با شدت بالا تحت تأثیر قرار میگیرند. (C:H/I:H/A:H)
محصولات تحت تاثیر
تمام نسخههای این افزونه از جمله نسخه 2.15 تحت تأثیر این آسیبپذیری قرار گرفتهاند.
توصیه امنیتی
به کاربران توصیه میشود که در اسرع وقت نسخههای آسیبپذیر را به نسخه های جدیدتر بهروزرسانی کنند.
منابع خبر:
[1]https://nvd.nist.gov/vuln/detail/CVE-2024-9990
[2]https://github.com/advisories/GHSA-mvwj-4mhx-2qqv
[3]https://www.wordfence.com/threat-intel/vulnerabilities/?page=2
- 139