- شناسه CVE-2024-10046 :CVE
- CWE-79 / CWE-74/CWE-94 :CWE
- wordfence.com :Advisory
- منتشر شده: 12/06/2024
- به روز شده: 12/07/2024
- امتیاز: 6.1
- نوع حمله: Cross Site Scripting
- اثر گذاری: Code Execution, Denial of Service
- برند: Wordpress
- محصول: افزونه فارسی پیامک ووکامرس
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
آسیب پذیری مربوط به نسخه 7.0.5 و نسخه های پیشین افزونه پیامکی ووکامرس فارسی پیدا شده است که در دسته بندی مشکل ساز قرار دارد. دستکاری این پلاگین منجر به حملات Cross-Site Scripting خواهد شد. این حمله ممکن است از راه دور قابل انجام باشد. اکسپلویتی در این زمینه ارائه نشده است.
توضیحات
افرونه پیامک ووکامرس فارسی به دلیل استفاده از ارگومان remove_query_arg بدون جایگذاری مناسب آرگومان در URL کلیه نسخه ها از 7.0.5 به قبل رخ می دهد، نسبت به Cross-Site Scripting آسیب پذیر است. در این حالت یک مهاجم احراز هویت نشده می تواند اسکریپت های وب دلخواهش را در صفحه ای بازگذاری کرده و در صورتی که بتوانند کاربری را ترغیب به اجرای اکشنی نظیر کلیک کردن بر روی لینک کنند این اسکریپت ها اجرا خواهند شد. اطلاعات فنی یا اکسپلویتی برای این آسیب پذیری در دسترس نیست. پروژه MITRE ATT&CK تکنیک این حمله را تحت عنوان T1059.007 منتشر کرده است.
اطلاعاتی در خصوص راهکارهای مقابله ای در دسترس نیست. ممکن است توسعه دهنده پیشنهاد دهد که شی در معرض آسیب به نسخه جایگزینی بروزرسانی شود.
این
سیستم امتیاز دهی آسیب پذیری ها بر اساس استاندارد های تحقیقاتی حوزه نمره دهی به آسیب پذیری ها، امتیازات زیر را برای شدت اثرگذاری این آسیب پذیری در نظر گرفته است.
| Score | Severity | Version | Vector String |
| 6.1 | MEDIUM | 3.1 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H |
محصولات آسیب پذیر
در زمان انتشار این اعلامیه، محصولات زیر در معرض این آسیب پذیری قرار دارند:
- Persian-woocommerce-sms <=7.0.5
نرم افزار اصلاح شده
به منظور رفع این آسیب پذیری بهتر است نسخه فعلی را مطابق جدول زیر به نسخه های اعلام شده ارتقا دهید.
| Affected | Solution |
| <=7.0.5 | Upgrade to 7.0.6 or above |
نتیجه گیری
آسیب پذیری فوق در دسته آسیب پذیری های سطح متوسط دسته بندی می شود. محصول داده های ورودی کاربر را پیش از آنکه در خروجی صفحه وبی که برای سایر کاربران نمایش داده خواهد شد، قرار دهد، به درستی یا به صورت کامل پاکسازی نمی کند . پیشنهاد می شود به منظور جلوگیری از قرار گرفتن در معرض آسیب های احتمالی، المان در معرض آسیب را به نسخه های بالاتر ارتقا دهید.
منابع
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2024-10046&sortby=bydate
- https://vuldb.com/?id.287128
- https://www.cve.org/CVERecord?id=CVE-2024-10046
- https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/persian-woocommerce-sms/afzonh-pyamk-ookamrs-persian-woocommerce-sms-705-reflected-cross-site-scripting
- https://cvedetails.com/cve/CVE-2024-10046/
- https://cwe.mitre.org/data/definitions/79.html
- https://cwe.mitre.org/data/definitions/74.html
- https://cwe.mitre.org/data/definitions/94.html
- https://plugins.trac.wordpress.org/browser/persian-woocommerce-sms/tags/7.0.3/src/SMS/Archive.php#L93
- https://plugins.trac.wordpress.org/changeset/3201912/
