کشف آسیب‌پذیری در WordPress

کشف آسیب‌پذیری در WordPress

تاریخ ایجاد

یک آسیب‌پذیری با شناسه CVE-2024-9990 و شدت 8.8 (بالا) در افزونه Crypto plugin for WordPress کشف شده است، که ناشی از یک نقص در مکانیزم اعتبارسنجی ورودی است.مهاجم با بهره‌برداری از این آسیب‌پذیری می‌تواند به داده‌های حساس دسترسی داشته باشد و محتوای آن را تغییر دهد و در نهایت وب سایت را به طور کامل کنترل کند.
بر اساس بردار حمله این آسیب‌پذیری CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H: بهره‌برداری از آن از طریق شبکه خارجی و از راه دور امکان‌پذیر است (AV:N)، به‌راحتی قابل تکرار است و چندان به شرایط خاصی نیاز ندارد(AC:L)، برای انجام حمله به هیچ حساب کاربری با سطح دسترسی خاصی نیاز نیست (PR:N) و به تعامل با کاربر نیاز دارد(UI:R)،هره‌برداری از آسیب‌پذیری مذکور بر سایر منابع امنیتی تأثیر نمی‌گذارد (S:U)، هر سه ضلع امنیت به با شدت بالا تحت تأثیر قرار می‌گیرند. (C:H/I:H/A:H)

 

 
محصولات تحت تاثیر

 

تمام نسخه‌های این افزونه از جمله نسخه 2.15 تحت تأثیر این آسیب‌پذیری قرار گرفته‌اند.
 

توصیه امنیتی
 

به کاربران توصیه می‌شود که در اسرع وقت نسخه‌های آسیب‌پذیر را به نسخه های جدید‌تر به‌روزرسانی کنند.



منابع خبر:

 

[1]https://nvd.nist.gov/vuln/detail/CVE-2024-9990  
[2]https://github.com/advisories/GHSA-mvwj-4mhx-2qqv 
[3]https://www.wordfence.com/threat-intel/vulnerabilities/?page=2