کشف آسیب‌پذیری در WordPress

تاریخ ایجاد 1403/11/06

اخیراً آسیب‌پذیری بحرانی با شناسه‌ی CVE-2024-12857 و شدت 9.8 در قالب AdForest وردپرس شناسایی شده است که به مهاجمان غیرمجاز امکان می‌دهد بدون احراز هویت صحیح به حساب‌های کاربران دسترسی پیدا کنند. این نقص ناشی از عدم بررسی صحیح هویت کاربران قبل از ورود به سیستم است.

جزئیات آسیب‌پذیری

این آسیب‌پذیری از نوع دور زدن احراز هویت است که به مهاجمان اجازه می‌دهد تا بدون دانستن رمز عبور، با استفاده از قابلیت ورود یک‌بارمصرف (OTP) از طریق شماره تلفن، به‌عنوان هر کاربری در سیستم احراز هویت شوند. دلیل بروز این نقص، عدم پیاده‌سازی صحیح مکانیزم‌های احراز هویت در این قالب است که منجر به ورود غیرمجاز مهاجمان می‌شود.

بردار CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H نشان می‌دهد که این آسیب‌پذیری اجازه می‌دهد مهاجم بتواند بدون نیاز به دسترسی اولیه و تعامل با کاربر، از طریق شبکه به‌آسانی اقدام به بهره‌برداری نماید.

نسخه‌های تحت تأثیر

تمامی نسخه‌های قالب AdForest قبل و شامل نسخه 5.1.8 تحت تأثیر این آسیب‌پذیری قرار دارند.

توصیه‌های امنیتی

• توسعه‌دهندگان پس از انتشار، قالب را به آخرین نسخه‌ی پایدار ارتقاء دهند.

• تا زمان ارائه‌ی وصله‌ی رسمی، قابلیت ورود با شماره تلفن و OTP غیرفعال شود.

• برای جلوگیری از ورود غیرمجاز، از احراز هویت چندعاملی استفاده گردد.

منابع خبر:

https://nvd.nist.gov/vuln/detail/CVE-2024-12857

https://www.cve.org/CVERecord?id=CVE-2024-12857