افزونهی Themes Coder – Create Android & iOS Apps For Your WooCommerce Site ابزاری قدرتمند برای تبدیل فروشگاههای WooCommerce به اپلیکیشنهای موبایل است. اخیراً آسیبپذیری بحرانی با شدت 9.8 در این افزونه کشف شدهاست. براساس گزارش آسیبپذیری CVE-2024-12402، مهاجمان غیرمجاز میتوانند بدون نیاز به احراز هویت، رمز عبور کاربران، از جمله مدیران را تغییر داده و کنترل حساب آنها را بهدست بگیرند.
جزئیات آسیبپذیری
این آسیبپذیری به مهاجمان غیرمجاز امکان میدهد که رمز عبور کاربران، از جمله مدیران را تغییر داده و حساب آنها را تصاحب کنند. علت این آسیبپذیری عدم اعتبارسنجی صحیح هویت کاربر درخواستدهنده پیش از بهروزرسانی رمز عبور در تابع ()update_user_profile است.
توضیح بردار حمله:
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
این بردار آسیبپذیری نشان میدهد که حمله از راه دور و از طریق شبکه انجام میشود و پیچیدگی آن پایین است، بهطوریکه مهاجم بدون نیاز به دسترسی اولیه و بدون نیاز به تعامل کاربر قربانی، قادر به انجام آن خواهد بود. این آسیبپذیری میتواند منجر به افشای اطلاعات حساس و ایجاد اختلال در دسترسی به سیستم شود.
نسخههای تحت تأثیر
تمامی نسخههای افزونه قبل و شامل نسخهی 1.3.4.
توصیههای امنیتی
با توجه به اینکه این افزونه نسخهی امنتری ندارد و توسعهدهندهی آن بهروزرسانی ارائه نکردهاست، اقدامات زیر پیشنهاد میگردد:
-
اگر استفاده از افزونه ضروری نیست، بهتر است بلافاصله آن را غیرفعال و حذف کنید تا از سوءاستفاده جلوگیری شود و از افزونههای معتبر که کارکردهای مشابهی را ارائه میدهند، استفاده گردد.
-
حصول اطمینان از اینکه تمامی کاربران از رمزهای عبور قوی استفاده میکنند و دسترسی غیرضروری کاربران محدود شدهاست.
-
برای تمامی کاربران، بهویژه مدیران، احراز هویت دو مرحلهای فعال کنید.
-
درصورت نیاز به استفادهی موقت از افزونه، دسترسی به بخشهای حساس یا توابعی که شامل آسیبپذیری است، محدود شود.
ادامهی استفاده از این افزونه بدون نسخهی امن یا اقدامات پیشگیرانه ممکن است منجر به آسیبپذیری جدی در سایت شود. بهترین اقدام، حذف افزونه و جایگزینی با افزونههای مشابه است.
منابع خبر:
[1]https://www.cve.org/CVERecord?id=CVE-2024-12402
[2]https://nvd.nist.gov/vuln/detail/CVE-2024-1240
[3]https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-12402
- 128