یک آسیبپذیری با شناسه CVE-2024-10589 و شدت 9.8 (بحرانی) در Leopard – WordPress کشف شده است. مهاجم از راه دور با دستکاری آرگومان های تابع import_settings() میتواند به سطح دسترسی مدیر برسد و گزینه های مورد نظر را به دلخواه تغییر دهند. بر اساس بردار حمله این آسیبپذیری CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H: بهرهبرداری از آن از طریق شبکه خارجی و از راه و با پیچیدگی کم قابل تکرار است(AV:N/AC:L)، این حمله بدون سطح دسترسی اولیه و بدون تایید کاربر انجام میشود(PR:N/UI:N)، بهرهبرداری از آسیبپذیری مذکور بر سایر منابع امنیتی تأثیر نمیگذارد (S:U)، این آسیبپذیری سه ضلع امنیت را با شدت بالا تحت تاثیر قرار می دهد(C:H/I:H/A:H)
محصولات تحت تأثیر
تمام نسخه ها تا 3.1.1 تحت تاثیر این آسیبپذیری قرار گرفته است.
توصیه امنیتی
به کاربران توصیه میشود که در اسرع وقت نسخه آسیبپذیر را به نسخه 3.1.2ارتقاء دهند.
منابع خبر:
[1]https://nvd.nist.gov/vuln/detail/CVE-2024-10589
[2]https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/leopard-wordpress-offload-…
- 73