اخیراً آسیبپذیری بحرانی با شناسهی CVE-2024-12857 و شدت 9.8 در قالب AdForest وردپرس شناسایی شده است که به مهاجمان غیرمجاز امکان میدهد بدون احراز هویت صحیح به حسابهای کاربران دسترسی پیدا کنند. این نقص ناشی از عدم بررسی صحیح هویت کاربران قبل از ورود به سیستم است.
جزئیات آسیبپذیری
این آسیبپذیری از نوع دور زدن احراز هویت است که به مهاجمان اجازه میدهد تا بدون دانستن رمز عبور، با استفاده از قابلیت ورود یکبارمصرف (OTP) از طریق شماره تلفن، بهعنوان هر کاربری در سیستم احراز هویت شوند. دلیل بروز این نقص، عدم پیادهسازی صحیح مکانیزمهای احراز هویت در این قالب است که منجر به ورود غیرمجاز مهاجمان میشود.
بردار CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H نشان میدهد که این آسیبپذیری اجازه میدهد مهاجم بتواند بدون نیاز به دسترسی اولیه و تعامل با کاربر، از طریق شبکه بهآسانی اقدام به بهرهبرداری نماید.
نسخههای تحت تأثیر
تمامی نسخههای قالب AdForest قبل و شامل نسخه 5.1.8 تحت تأثیر این آسیبپذیری قرار دارند.
توصیههای امنیتی
- توسعهدهندگان پس از انتشار، قالب را به آخرین نسخهی پایدار ارتقاء دهند.
- تا زمان ارائهی وصلهی رسمی، قابلیت ورود با شماره تلفن و OTP غیرفعال شود.
- برای جلوگیری از ورود غیرمجاز، از احراز هویت چندعاملی استفاده گردد.
منابع خبر:
- 46