یک آسیبپذیری با شناسهی CVE-2024-13333 و با شدت 7.5 (بالا) در افزونهی Advanced File Manager شناسایی شده است. این نقص امنیتی به دلیل عدم تایید اعتبار نوع فایل در تابع 'fma_local_file_system و آپلود دلخواه فایل ایجاد میشود. این امکان برای مهاجم فراهم میشود که با دسترسی مشترک مجوزهای لازم را توسط سرپرست به دست آورد تا فایلهای دلخواه را در سرور سایت آسیبدیده آپلود کند و کد را از راه دور اجرا کند. این تابع تنها زمانی قابل بهرهبرداری است که "نمایش .htaccess?" تنظیم فعال است.
بر اساس بردار حملهی این آسیبپذیری CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H بهرهبرداری از آن از طریق شبکه خارجی و از راه دور امکانپذیر است (AV:N)، پیچیدگی حمله بالا میباشد (AC:H)، مهاجم برای انجام حمله نیاز به حساب کاربری با سطح دسترسی پایین میباشد (PR:L) و به تعامل با کاربر نیاز ندارد (UI:N)، بهرهبرداری از آسیبپذیری مذکور بر سایر منابع امنیتی تأثیر نمیگذارد (S:U)، هر سه ضلع امنیت با شدت بالا تحت تأثیر قرار میگیرند (C:H و I:H و A:H).
محصولات تحت تأثیر
نسخههای 5.2.12 تا نسخهی 5.2.13 تحت تاثیر این آسیبپذیری قرار گرفته است.
توصیهی امنیتی
به کاربران توصیه میشود که در اسرع وقت نسخههای آسیبپذیر را به نسخه بالاتر به روزرسانی کنند.
منبع خبر:
- 40