آسیبپذیری CVE-2024-32832 با شدت بحرانی (نمرهی 9.8 از 10) در افزونهی محبوب وردپرس با عنوان Login with Phone Number شناسایی شده است. این نقص امنیتی از نوع عدم اعتبارسنجی مجوز دسترسی (Missing Authorization) بوده و به مهاجم اجازه میدهد بدون احراز هویت (PR:N)، به عملکردهایی دسترسی یابد که مختص کاربران مجاز و مدیران سیستم است. این آسیبپذیری از طریق ارسال درخواستهای مخرب به سرور وردپرس و بدون نیاز به تعامل با کاربر (UI:N) قابل بهرهبرداری است. مهاجم میتواند از طریق شبکه عمومی (AV:N)، با پیچیدگی پایین (AC:L)، به اطلاعات حساس دسترسی یافته (C:H)، دادهها را تغییر داده یا حذف کند (I:H) و حتی موجب اختلال در عملکرد سامانه شود (A:H). این حمله در محدوده داخلی افزونه رخ میدهد و تأثیری بر سایر اجزای سیستم ندارد (S:U)، اما بهدلیل سطح دسترسی گستردهای که فراهم میسازد، تهدیدی جدی برای محرمانگی، تمامیت و دسترسپذیری دادهها محسوب میشود.
محصولات آسیبپذیر
- نسخههای تا 1.6.93 از افزونهی Login with Phone Number برای وردپرس
- وبسایتهایی که از این افزونه برای احراز هویت کاربران استفاده میکنند
توصیههای امنیتی
- بهروزرسانی یا حذف افزونهی آسیبپذیر
- محدودسازی دسترسی به پنل مدیریت با فایروال یا VPN
- بررسی لاگهای دسترسی و احراز هویت
- آموزش تیم فنی درباره کنترل دسترسی صحیح
- اجرای تست نفوذ دورهای برای ارزیابی امنیت وردپرس
منبع خبر:
- 19