یک آسیبپذیری با شناسه CVE-2024-10958 و شدت 7.3 (بالا) در افزونه WP Photo Album Plus WordPress کشف شده است. مهاجم با استفاده از AJAX action کدهای دلخواه shortcode را روی سایت اجرا کند. براساس بردار حمله این آسیبپذیریCVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L:بهرهبرداری از آن از طریق شبکه خارجی و با پیچیدگی کم قابل تکرار است (AV:N/AC:L)، این حمله بدون نیاز به سطح دسترسی و تایید کاربر انجام میشود (PR:N/UI:N)، بهرهبرداری از آسیبپذیری مذکور بر سایر منابع امنیتی تأثیری نمیگذارد(S:U) و سه ضلع امنیت را با شدت پایین تحت تأثیر قرار میدهد (C:L/I:L/A:L)
محصولات تحت تأثیر
تمام نسخه ها تا 8.8.08.007 تحت تاثیر این آسیبپذیری قرار گرفتهاند.
توصیه امنیتی
به کاربران توصیه میشود که در اسرع وقت نسخه آسیبپذیر را به نسخه 8.9.01.001 ارتقاء دهند.
منابع خبر:
[1] https://nvd.nist.gov/vuln/detail/CVE-2024-10958
[2] https://wordpress.org/plugins/wp-photo-album-plus/#developers
- 16