کشف آسیب‌پذیری در WordPress

کشف آسیب‌پذیری در WordPress

تاریخ ایجاد

یک آسیب‌پذیری با شناسه CVE-2024-10589 و شدت 9.8 (بحرانی) در Leopard – WordPress کشف شده است. مهاجم از راه دور با دستکاری آرگومان های تابع  import_settings() می‌تواند به سطح دسترسی مدیر برسد و گزینه های مورد نظر را به دلخواه تغییر دهند. بر اساس بردار حمله این آسیب‌پذیری CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H: بهره‌برداری از آن از طریق شبکه خارجی و از راه و با پیچیدگی کم قابل تکرار است(AV:N/AC:L)، این حمله بدون سطح دسترسی اولیه و بدون تایید کاربر انجام می‌شود(PR:N/UI:N)، بهره‌برداری از آسیب‌پذیری مذکور بر سایر منابع امنیتی تأثیر نمی‌گذارد (S:U)، این آسیب‌پذیری سه ضلع امنیت را با شدت بالا تحت تاثیر قرار می دهد(C:H/I:H/A:H)

 

محصولات تحت تأثیر

 

 تمام نسخه ها تا 3.1.1 تحت تاثیر این آسیب‌پذیری قرار گرفته است.


 توصیه امنیتی 


 به کاربران توصیه می‌شود که در اسرع وقت نسخه آسیب‌پذیر را به نسخه 3.1.2ارتقاء دهند.  

 


منابع خبر:

 

[1]https://nvd.nist.gov/vuln/detail/CVE-2024-10589
[2]https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/leopard-wordpress-offload-…