خانه » CVE-2024-54213
هشدار‌های امنیت سایبری

CVE-2024-54213

آسیب پذیری XSS در افزونه Zion Builder صفحه ساز وردپرس

توسط Vulnerbyte_Alerts
نوشته شده توسط Vulnerbyte_Alerts
  • شناسه CVE-2024-54213 :CVE
  • CWE79 / CWE74/CWE94 :CWE
  • patchstack.com :Advisory
  • منتشر شده: 12/06/2024
  • به روز شده: 12/06/2024
  • امتیاز: 6.5
  • نوع حمله: Cross Site Scripting
  • اثر گذاری: Code Execution, Denial of Service
  • برند: WordPress
  • محصول: Zionbuilder
  • وضعیتPublished :CVE
  • No :POC
  • وضعیت آسیب پذیری: patch شده

چکیده

آسیب پذیری مربوط به نسخه 3.6.12 و نسخه های پیشین افزونه Zion Page Builder پیدا شده است که در دسته بندی مشکل ساز قرار دارد. این آسیب پذیری بر روی یک بلوک کد برنامه اثر می گذارد. دستکاری این پلاگین با استفاده از ورودی های ناشناخته منجر به حملات Cross-Site Scripting خواهد شد. این حمله ممکن است از راه دور قابل انجام باشد. اکسپلویتی در این زمینه ارائه نشده است.  این حمله بر روی جامعیت محصول تاثیر خواهد داشت.

 

توضیحات

پاکسازی نادرست یا ناقص ورودی ها در پروسه تولید یک صفحه وب درپلاگین zionbuilder.io  ورد پرس زمینه را برای حملات Cross-Site Scripting  فراهم می کند. این آسیب پذیری این زمینه را فراهم می کند که یک کاربر خرابکار اسکریپت مخربی مانند redirect ،تبلیغات  و سایر بارهای اضافه ای که می توان بر روی صفحات HTML  وارد کرد را در صفحه  وب خروجی که به کاربران دیگر نمایش داده می شود جاسازی کند. در نهایت زمانی که بازدیدکنندگان در حال کار با صفحات وب سایت شما باشند، این اسکریپت ها اجرا می شوند.

 

سیستم امتیاز دهی آسیب پذیری ها بر اساس استاندارد های تحقیقاتی حوزه نمره دهی به آسیب پذیری ها، امتیازات زیر را برای شدت اثرگذاری این آسیب پذیری در نظر گرفته است.

 

Score Severity Version Vector String
6.5 MEDIUM 3.1 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

 

محصولات آسیب پذیر

در زمان انتشار این اعلامیه، محصولات زیر در معرض این آسیب پذیری قرار دارند:

  • <=3.6.12

نرم افزار اصلاح شده

بنا به گفته توسعه دهنده از آنجایی که این مشکل از درجه اهمیت پایینی برخوردار است، بروزرسانی به منظور رفع آن ارائه نشده است.

نتیجه گیری

آسیب پذیری فوق در دسته آسیب پذیری های سطح متوسط دسته بندی می شود. محصول داده های ورودی کاربر را پیش از آنکه در خروجی صفحه وبی که برای سایر کاربران نمایش داده خواهد شد، قرار دهد، به درستی یا به صورت کامل پاکسازی نمی کند .  نسخه جایگزینی به منظور ارتقا این آسیب پذیری ارائه نشده است.

منابع

  1. https://patchstack.com/database/wordpress/plugin/zionbuilder/vulnerability/wordpress-wordpress-page-builder-zion-builder-plugin-3-6-12-cross-site-scripting-xss-vulnerability?_s_id=cve
  2. https://vulmon.com/vulnerabilitydetails?qid=CVE-2024-54213&sortby=bydate
  3. https://vuldb.com/?id.287152
  4. https://www.cve.org/CVERecord?id=CVE-2024-54213
  5. https://www.cvedetails.com/cve/CVE-2024-54213/
  6. https://cwe.mitre.org/data/definitions/79.html
  7. https://cwe.mitre.org/data/definitions/74.html
  8. https://cwe.mitre.org/data/definitions/94.html

همچنین ممکن است دوست داشته باشید

CVE-2024-50125

CVE-2024-42456

CVE-2024-42448

CVE-2024-50379

CVE-2024-37605

CVE-2024-36832

CVE-2024-20457

CVE-2024-12728

CVE-2024-12727

CVE-2024-46340

پیام بگذارید

نام ، ایمیل و وب سایت خود را برای بار دیگر که اظهار نظر می کنم در این مرورگر ذخیره کنید.