خانه » CVE-2024-13695
هشدار‌های امنیت سایبری

CVE-2024-13695

جعل درخواست از سمت سرور (SSRF) در قالب Enfold وردپرس

توسط Vulnerbyte Alerts
نوشته شده توسط Vulnerbyte Alerts
  • شناسه CVE-2024-13695 :CVE
  • CWE-918 :CWE
  • yes :Advisory
  • منتشر شده: فوریه 25, 2025
  • به روز شده: فوریه 25, 2025
  • امتیاز: 6.4
  • نوع حمله: Unknown
  • اثر گذاری: Server-side request forgery
  • حوزه: سیستم مدیریت محتوا
  • برند: Kriesi
  • محصول: Enfold
  • وضعیتPublished :CVE
  • No :POC
  • وضعیت آسیب پذیری: patch شده

چکیده

یک آسیب‌پذیری در افزونه Kriesi Enfold تا نسخه 6.0.9 در وردپرس شناسایی شده است. ایجاد تغییرات در آرگومان attachment_id باعث ایجاد SSRF (Server-side request forgery) می‌شود. این آسیب‌پذیری با شناسه CVE-2024-13695 ثبت شده است. حمله می‌تواند از راه دور انجام شود.

توضیحات

این مشکل طبق CWE-918 طبقه‌بندی شده است که نشان می‌دهد سرور وب URL یا درخواست مشابهی از یک بخش بالادستی دریافت می‌کند و محتویات آن URL را بازیابی می‌کند، اما به‌طور کافی آن بررسی نمی‌کند که درخواست به مقصد مورد نظر ارسال شده است یا خیر. این آسیب‌پذیری می‌تواند بر محرمانگی، یکپارچگی و دسترس‌پذیری تأثیر بگذارد.

این آسیب‌پذیری به مهاجمان با سطح دسترسی مشترکین و بالاتر این امکان را می‌دهد که درخواست‌های وب را به مکان‌های دلخواهی ارسال کنند که منبع آنها از وب اپلیکیشن است و می‌تواند برای query و تغییر اطلاعات از سرویس‌های داخلی استفاده شود.

اکسپلویت این آسیب پذیری ساده ارزیابی شده است و امکان شروع حمله از راه دور وجود دارد.

CVSS

Score Severity Version Vector String
6.4 MEDIUM 3.1 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

 لیست محصولات آسیب پذیر

Versions Product
affected through 6.0.9 Enfold – Responsive Multi-Purpose Theme

 لیست محصولات بروز شده

Versions Product
Update to version 7.0, or a newer patched version Enfold – Responsive Multi-Purpose Theme

نتیجه گیری

برای جلوگیری از نفوذ از نسخه 7 یا نسخه های بروزتر استفاده کنید.

منابع

  1. https://www.cve.org/CVERecord?id=CVE-2024-13695
  2. https://www.cvedetails.com/cve/CVE-2024-13695/
  3. https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-themes/enfold/enfold-609-authenticated-subscriber-server-side-request-forgery-via-attachment-id
  4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2024-13695
  5. https://vuldb.com/?id.296739
  6. https://nvd.nist.gov/vuln/detail/CVE-2024-13695
  7. https://cwe.mitre.org/data/definitions/918.html

همچنین ممکن است دوست داشته باشید

CVE-2025-27148

CVE-2025-1262

CVE-2025-0514

CVE-2024-13693

CVE-2025-21279

CVE-2025-27364

CVE-2025-27355

CVE-2025-27347

CVE-2025-27342

CVE-2025-27331

پیام بگذارید

نام ، ایمیل و وب سایت خود را برای بار دیگر که اظهار نظر می کنم در این مرورگر ذخیره کنید.