دوشنبه ۲۶ شهريور ۱۴۰۳ , 16 Sep 2024
تهدیدات
چهارشنبه ۱۴ شهريور ۱۴۰۳ - ۱۰:۰۵
جالب است ۰

آسیب‌پذیری حیاتی در افزونه‌‌های وردپرس را برطرف کنید

آسیب‌پذیری حیاتی در افزونه Events Calendar Pro و همچنین تعدادی از افزونه‌های فروشگاهی وردپرس شناسایی شده که کاربران باید برای مصونیت از آنها باید به‌روزرسانی به نسخه‌های بالاتر را انجام دهند.
منبع : NIST
آسیب‌پذیری حیاتی در افزونه Events Calendar Pro و همچنین تعدادی از افزونه‌های فروشگاهی وردپرس شناسایی شده که کاربران باید برای مصونیت از آنها باید به‌روزرسانی به نسخه‌های بالاتر را انجام دهند.
 
به گزارش افتانا، یک آسیب‌پذیری به شماره شناسه CVE-2024-8030 و شدت ۹.۸ که یک نقص بحرانی در افزونه‌های Ultimate Store Kit Elementor Addons، Woocommerce Builder، EDD Builder، Elementor Store Builder، Product Grid، Product Table و Woocommerce Slider کشف شده است. این آسیب‌پذیری به مهاجمان غیرمجاز امکان تزریق اشیاء PHP از طریق deserialization ورودی‌های نامعتبر از طریق کوکی _ultimate_store_kit_wishlist را می‌دهد.
 
نبود زنجیره POP در خود افزونه به این معنی است که آسیب‌پذیری با توجه به حضور افزونه‌ها یا تم‌های اضافی در سیستم هدف، قابل بهره‌برداری است. در صورت وجود زنجیره POP، مهاجم می‌تواند فایل‌های دلخواه را حذف کند، به داده‌های حساس دسترسی پیدا کند، یا کد دلخواه را اجرا کند.
 
این آسیب‌پذیری این محصولات را تا نسخه‌های 2.0.3 تحت‌تاثیر قرار می‌دهد و کاربران باید افزونه‌های تحت تأثیر را به نسخه‌هایی بالاتر از 2.0.3 که این آسیب‌پذیری در آن‌ها برطرف شده است، به‌روزرسانی کنند.
    •    Ultimate Store Kit Elementor Addons
    •    Woocommerce Builder
    •    EDD Builder
    •    Elementor Store Builder
    •    Product Grid
    •    Product Table
    •    Woocommerce Slider
 
همچنین نسخه‌ ۷.۰.۲ و تمام نسخه‌های قبلی The Events Calendar Pro، یکی از افزونه‌های سیستم مدیریت محتوای وردپرس که برای ایجاد، سازماندهی، نمایش تقویم و رویدادها استفاده می‌شود به دلیل عدم اعتبارسنجی صحیح داده‌های ورودی کاربر دارای آسیب‌پذیری تزریق شیء php با شناسه CVE-2024-8016 و شدت ۹.۱ هستند. کاربران باید افزونه را به نسخه 7.0.2.1  به‌روزرسانی کنند.
 
این آسیب‌پذیری زمانی رخ می‌دهد که مهاجم احرازهویت شده با سطح دسترسی مدیر یا بالاتر یک شیء PHP را به عنوان ورودی توسط پارامتر filters به تابع ()unserialize در PHP ارسال کند. وجود زنجیره POP امکان اجرای کد از راه دور را برای مهاجم فراهم می‌کند. هر‌گاه این افزونه به همراه افزونه Elementor نصب شود، کاربران با سطح دسترسی contributor و بالاتر نیز می‌توانند از این آسیب‌پذیری بهره‌برداری کنند.
کد مطلب : 22425
https://aftana.ir/vdcene8w.jh8wwi9bbj.html
تگ ها
آسیب‌پذیری مدیریت آسیب‌پذیری افزونه وردپرس
ارسال نظر
نام شما
آدرس ايميل شما
کد امنيتی


آخرین عناوین
پربيننده ترين
گام بعدی توسن چیست
۱
گام بعدی توسن چیست
رئیس کانون هماهنگی افتا: راه‌حل مشکلات سایبری در مذاکره و مدیریت است نه ممنوعیت
۲
رئیس کانون هماهنگی افتا: راه‌حل مشکلات سایبری در مذاکره و مدیریت است نه ممنوعیت
منتظر به‌روزرسانی اکسس پوینت D-Link DAP-2310 نباشید
۳
منتظر به‌روزرسانی اکسس پوینت D-Link DAP-2310 نباشید
خطر افشای اطلاعات در مرورگر‌های FireFox‌ و ThunderBird
۴
خطر افشای اطلاعات در مرورگر‌های FireFox‌ و ThunderBird
اجرای کدهای مخرب در macOS با سوءاستفاده از VMware Fusion
۵
اجرای کدهای مخرب در macOS با سوءاستفاده از VMware Fusion