کشف آسیب‌پذیری در WordPress

کشف آسیب‌پذیری در WordPress

تاریخ ایجاد

یک آسیب‌پذیری با شناسه CVE-2024-10097 و شدت 8.1 (بالا) در افزونه‌های Loginizer Security و Loginizer در وردپرس کشف شده است. این نقص امنیتی امکان دور زدن مکانیزم احراز هویت را فراهم می‌کند. مهاجم با بهره‌برداری از این آسیب‌پذیری می‌تواند بدون اعتبارسنجی مناسب می‌تواند به سیستم دسترسی غیرمجاز داشته باشد وسطح دسترسی خود را بالا ببرد.براساس بردار حمله این‌آسیب‌پذیریCVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A: بهره‌برداری از آن از طریق شبکه خارجی و از راه دور امکان‌پذیر است (AV:N)، پیچیدگی حمله بالا می‌باشد(AC:H)، برای انجام حمله به هیچ حساب کاربری با سطح دسترسی خاصی نیاز نیست (PR:N) و به تعامل با کاربر نیاز ندارد (UI:N)، بهره‌برداری از آسیب‌پذیری مذکور بر سایر منابع امنیتی تأثیر نمی‌گذارد (S:U)، هر سه ضلع امنیت با شدت بالا تحت تأثیر قرار می‌گیرند. (C:H و I:H و A:H)
 

محصولات آسیب‌پذیر


نسخه‌های  زیر تحت تاثیر این آسیب‌پذیری قرار گرفته‌اند: 


افزونه Loginizer: تمام نسخه‌ها تا نسخه‌ی 1.9.2



توصیه‌ امنیتی


به کاربران توصیه می‌شود در اسرع وقت جهت رفع این مشکل، نسخه‌های آسیب‌پذیر را به نسخه های جدید‌تر به روزرسانی کنند. 



منابع خبر:


[1]  https://nvd.nist.gov/vuln/detail/CVE-2024-10097    
[2]  https://wordpress.org/support/topic/cve-2024-1564-patch/