کشف آسیب‌پذیری در Word Press

کشف آسیب‌پذیری در Word Press

تاریخ ایجاد

یک آسیب‌پذیری با شناسه CVE-2024-10958 و شدت 7.3 (بالا) در افزونه WP Photo Album Plus  WordPress کشف شده است. مهاجم با استفاده از AJAXaction کدهای دلخواه shortcode را روی سایت اجرا کند.
براساس بردار حمله این آسیب‌پذیری CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L: بهره‌برداری از آن از طریق شبکه خارجی و با پیچیدگی کم قابل تکرار است (AV:N/AC:L)، این حمله بدون نیاز به سطح دسترسی و تایید کاربر انجام می‌شود (PR:N/UI:N)، بهره‌برداری ازآسیب‌پذیری مذکور بر سایر منابع امنیتی تأثیری نمی‌گذارد(S:U) و سه ضلع امنیت را با شدت پایین تحت تأثیر قرار می‌دهد (C:L/I:L/A:L)


محصولات تحت تأثیر


تمام نسخه ها تا 8.8.08.007 تحت تاثیر این آسیب‌پذیری قرار گرفته‌اند.

 

توصیه امنیتی


به کاربران توصیه می‌شود که در اسرع وقت نسخه آسیب‌پذیر را به نسخه 8.9.01.001 ارتقاء دهند.


 

منابع خبر:

 

[1] https://nvd.nist.gov/vuln/detail/CVE-2024-10958
[2] https://wordpress.org/plugins/wp-photo-album-plus/#developers