یک آسیبپذیری با شناسه CVE-2024-10097 و شدت 8.1 (بالا) در افزونههای Loginizer Security و Loginizer در وردپرس کشف شده است. این نقص امنیتی امکان دور زدن مکانیزم احراز هویت را فراهم میکند. مهاجم با بهرهبرداری از این آسیبپذیری میتواند بدون اعتبارسنجی مناسب میتواند به سیستم دسترسی غیرمجاز داشته باشد وسطح دسترسی خود را بالا ببرد.براساس بردار حمله اینآسیبپذیریCVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A: بهرهبرداری از آن از طریق شبکه خارجی و از راه دور امکانپذیر است (AV:N)، پیچیدگی حمله بالا میباشد(AC:H)، برای انجام حمله به هیچ حساب کاربری با سطح دسترسی خاصی نیاز نیست (PR:N) و به تعامل با کاربر نیاز ندارد (UI:N)، بهرهبرداری از آسیبپذیری مذکور بر سایر منابع امنیتی تأثیر نمیگذارد (S:U)، هر سه ضلع امنیت با شدت بالا تحت تأثیر قرار میگیرند. (C:H و I:H و A:H)
محصولات آسیبپذیر
نسخههای زیر تحت تاثیر این آسیبپذیری قرار گرفتهاند:
افزونه Loginizer: تمام نسخهها تا نسخهی 1.9.2
توصیه امنیتی
به کاربران توصیه میشود در اسرع وقت جهت رفع این مشکل، نسخههای آسیبپذیر را به نسخه های جدیدتر به روزرسانی کنند.
منابع خبر:
[1] https://nvd.nist.gov/vuln/detail/CVE-2024-10097
[2] https://wordpress.org/support/topic/cve-2024-1564-patch/
- 60