کشف آسیب‌پذیری در WordPress

کشف آسیب‌پذیری در WordPress

تاریخ ایجاد

یک آسیب‌پذیری با شناسه CVE-2024-10958 و شدت 7.3 (بالا) در افزونه WP Photo Album Plus  WordPress کشف شده است. مهاجم با استفاده از AJAX action کدهای دلخواه shortcode را روی سایت اجرا کند. براساس بردار حمله این آسیب‌پذیریCVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L:بهره‌برداری از آن از طریق شبکه خارجی و با پیچیدگی کم قابل تکرار است (AV:N/AC:L)، این حمله بدون نیاز به سطح دسترسی و تایید کاربر انجام می‌شود (PR:N/UI:N)، بهره‌برداری از آسیب‌پذیری مذکور بر سایر منابع امنیتی تأثیری نمی‌گذارد(S:U) و سه ضلع امنیت را با شدت پایین تحت تأثیر قرار می‌دهد (C:L/I:L/A:L)


محصولات تحت تأثیر


تمام نسخه ها تا 8.8.08.007 تحت تاثیر این آسیب‌پذیری قرار گرفته‌اند.

 

توصیه امنیتی


به کاربران توصیه می‌شود که در اسرع وقت نسخه آسیب‌پذیر را به نسخه 8.9.01.001 ارتقاء دهند.


 

منابع خبر:

 

[1] https://nvd.nist.gov/vuln/detail/CVE-2024-10958
[2] https://wordpress.org/plugins/wp-photo-album-plus/#developers