مقدمه
یک آسیبپذیری باشناسه CVE-2022-4328 و شدت بحرانی (9.8) در نسخههای قبل از 18.0 افزونه WooCommerce، سیستم مدیریت محتوای وردپرس کشف شده که امکان بارگذاری فایلهای دلخواه مانند php را برای مهاجم بر روی سرور فراهم میسازد.
جزئیات آسیبپذیری
ووکامرس افزونه وردپرس است که میتوان با آن اقدام به راهاندازی فروشگاه اینترنتی کرد. افزودن WooCommerce به وردپرس این امکان را می دهد که بتوان محصولات خود را در سایت اینترنتی وردپرسی به فروش رساند.
با سوءاستفاده از این آسیبپذیری مهاجم میتواند بدون احراز هویت شدن فایل دلخواه را بر روی سرور قرار دهد. این آسیبپذیری دارای بردار حمله CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H میباشد و بهرهبرداری از آن از طریق شبکه خارجی و از راه دور امکانپذیر است (AV:N). سوءاستفاده از این آسیبپذیری نیازمند هیچ پیشزمینهای نبوده و بهراحتی قابل تکرار است و نیازی به شرایط خاص نیست (AC:L). برای انجام حمله به هیچ حساب کاربری با سطح دسترسی خاصی نیاز نبوده (PR:N) و همچنین به تعامل با کاربر نیاز نیست(UI:N). سوءاستفاده از آسیبپذیری بر منابع مدیریتشده توسط سایر مراجع امنیتی تأثیر نمیگذارد (S:U) و در بدترین شرایط، با سوءاستفاده از آن، هر سه ضلع امنیت به میزان بالا تحت تأثیر قرار میگیرند (C:H و I:H و A:H).
محصولات تحت تأثیر
افزونه سیستم مدیریت یادگیری وردپرس WooCommerce نسخه قبل از 18.0تحت تأثیر این آسیبپذیری قرار میگیرند.
توصیههای امنیتی
این آسیبپذیری در نسخه های بعد از 18.0 رفع شده است .
لذا به کاربران توصیه میشود در اسرع وقت از طریق مسیر زیر، نسبت به بهروزرسانی افزونه WooCommerce خود اقدام کنند:
منابع خبر
https://cert.ir/node/4794
CVE-2022-47986 این آسیب پذیری در IBM Aspera Faspex 4.4.2 و ماقبل امکان اجرای کد دلخواه از راه دور را برای مهاجم فراهم می آورد. شدت آسیب پذیری : 9.8 بحرانی لینک راهکار:https://www.ibm.com/support/pages/node/6952319
CVE-2022-43883 یک نقص فنی در IBM Cognos Analytics (11.1.7, 11.2.0,و 11.2.1)که اجازه تزریق log و در نتیجه ارسال درخواست به شبکه داخلی یا سیستم فایل محلی رابرای مهاجم فراهم میسازد . سطح آسیب پذیری : 7.5 بالا لینک راهکار: https://www.ibm.com/support/pages/node/6841801 ______________________________________ CVE-2022-38708 یک نقص فنی در IBM Cognos Analytics (11.1.7, 11.2.0,و 11.2.1)که شرایط حمله SSRF […]
CVE-2020-7346 این آسیبپذیری درMcAfee بر روی ویندوز 11.6.100 به مهاجم امکان افزایش امتیاز دسترسی به اتصالات (تقاطع ها) و حذف و اضافه آنها و ارسال فرمان IOTL خاص در زمان معین را میدهد . شدت آسیب پذیری : 7.8 بالا لینک راهکار : https://kc.mcafee.com/corporate/index?page=content&id=SB10344 ______________________________ CVE-2021-23892 این آسیبپذیری درMcAfee امکان افزایش امتیاز دسترسی به مدیریت […]
دیدگاهتان را بنویسید