یک آسیبپذیری با شناسه CVE-2024-11205 و شدت 8.5 (بالا) در افزونه WPForms وردپرس شناسایی شده است. این نقص امنیتی به مهاجمان اجازه میدهد بدون داشتن مجوزهای لازم، تغییرات اساسی در تنظیمات و اشتراکهای سایت ایجاد کنند.
براساس بردار حمله این آسیبپذیری CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:H/A:N بهرهبرداری از آن از طریق شبکه خارجی و از راه دور امکانپذیر است (AV:N) و به راحتی قابل تکرار است و چندان به شرایط خاصی نیاز نیست (AC:L)، مهاجم برای انجام حمله نیاز به حساب کاربری با سطح دسترسی پایین میباشد (PR:L) و به تعامل با کاربر نیاز ندارد (UI:N)، بهرهبرداری از آسیبپذیری مذکور بر سایر منابع امنیتی تأثیر میگذارد (S:C)، با بهرهبرداری از این آسیبپذیری، یک ضلع از سه ضلع امنیت به پایینی تحت تأثیر قرار میگیرند(C:L/I:H/A:N).
محصولات تحت تأثیر
نسخههای 1.8.4 تا 1.9.2.1 افزونه WPForms تحت تاثیر این آسیبپذیری قرار گرفتهاند.
توصیههای امنیتی
به کاربران توصیه میشود که در اسرع وقت نسخههای آسیبپذیر را به نسخه 1.9.2.1 یا بالاتر ارتقاء دهند.
منبع خبر:
- 68