خانه » CVE-2024-13693
هشدار‌های امنیت سایبری

CVE-2024-13693

عدم احراز هویت منجر به افشای اطلاعات حساس در avia-export-class.php می شود

توسط Vulnerbyte Alerts
نوشته شده توسط Vulnerbyte Alerts
  • شناسه CVE-2024-13693 :CVE
  • CWE-284 :CWE
  • yes :Advisory
  • منتشر شده: فوریه 25, 2025
  • به روز شده: فوریه 25, 2025
  • امتیاز: 5.3
  • نوع حمله: T1068
  • اثر گذاری: Bypass
  • حوزه: سیستم مدیریت محتوا
  • برند: Kriesi
  • محصول: Enfold
  • وضعیتPublished :CVE
  • No :POC
  • وضعیت آسیب پذیری: patch شده

چکیده

یک آسیب‌پذیری در افزونه Kriesi Enfold تا نسخه 6.0.9 در وردپرس شناسایی شده است. این مشکل بر روی بخشی ناشناخته از فایل avia-export-class.php در ماژول مدیریت تنظیمات تأثیر می‌گذارد. ایجاد تغییرات در این بخش منجر به کنترل دسترسی می‌شود. این آسیب‌پذیری با کد CVE-2024-13693 ثبت شده است. حمله می‌تواند از راه دور انجام شود.

توضیحات

این مشکل به دلیل عدم بررسی مجوزهای کاربری رخ می‌دهد. این آسیب پذیری بر بخش ناشناخته ای از

Avia-Export-Class.php (کنترل کننده تنظیم کامپوننت) تأثیر می گذارد. این تنظیمات می‌توانند شامل اطلاعات حساس مانند key API سرویس Mailchimp، کلید مخفی reCAPTCHA، و توکن خصوصی Envato باشند.

بر اساس دسته‌بندی CWE-284، این آسیب‌پذیری زمانی رخ می‌دهد که محصول به درستی دسترسی به منابع را برای کاربران غیرمجاز محدود نکند. نقص مذکور می‌تواند بر محرمانگی اطلاعات تأثیر بگذارد.

اکسپلویت این آسیب پذیری ساده بوده و مهاجمان می‌توانند از راه دور بدون نیاز به احراز هویت به اطلاعات حساس دسترسی پیدا کنند.

بر اساس MITRE ATT&CK، این حمله تحت تکنیک T1068 طبقه‌بندی شده است. علاوه بر این، با جستجوی inurl:avia-export-class.php در گوگل، می‌توان سایت‌های آسیب‌پذیر را شناسایی کرد.

CVSS

Score Severity Version Vector String
5.3 MEDIUM 3.1 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

 لیست محصولات آسیب پذیر

Versions Product
affected through 6.0.9 Enfold – Responsive Multi-Purpose Theme

 لیست محصولات بروز شده

Versions Product
Update to version 7.0, or a newer patched version Enfold – Responsive Multi-Purpose Theme

نتیجه گیری

جهت جلوگیری از نفوذ از نسخه های بروزرسانی شده استفاده کنید.

منابع

  1. https://www.cve.org/CVERecord?id=CVE-2024-13693
  2. https://www.cvedetails.com/cve/CVE-2024-13693/
  3. https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-themes/enfold/enfold-609-missing-authorization-to-sensitive-information-disclosure-in-avia-export-classphp
  4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2024-13693
  5. https://vuldb.com/?id.296740
  6. https://nvd.nist.gov/vuln/detail/CVE-2024-13693
  7. https://cwe.mitre.org/data/definitions/284.html

همچنین ممکن است دوست داشته باشید

CVE-2025-27148

CVE-2025-1262

CVE-2025-0514

CVE-2024-13695

CVE-2025-21279

CVE-2025-27364

CVE-2025-27355

CVE-2025-27347

CVE-2025-27342

CVE-2025-27331

پیام بگذارید

نام ، ایمیل و وب سایت خود را برای بار دیگر که اظهار نظر می کنم در این مرورگر ذخیره کنید.