یک آسیبپذیری بحرانی با شناسه CVE-2023-0714 در افزونه Metform Elementor Contact Form Builder برای وردپرس شناسایی شده است. این آسیبپذیری به دلیل عدم اعتبارسنجی دقیق نوع فایلهای آپلودی در نسخههای 3.2.4 و قبل از آن، امکان اجرای کد از راه دور (RCE) را برای مهاجمان فراهم میکند.
مکانیزم آسیبپذیری:
مهاجمان با بهرهبرداری از تکنیک “Double Extension”، میتوانند فایلهای مخرب را با پسوندهای جعلی آپلود کرده و از این طریق، اجرای کد دلخواه خود را بر روی سرور هدف ممکن سازند. این آسیبپذیری به مهاجمان اجازه میدهد تا به اطلاعات حساس دسترسی پیدا کنند، سیستم را کنترل کرده و یا آن را از کار بیاندازند.
شدت آسیبپذیری:
طبق ارزیابی Wordfence، این آسیبپذیری دارای امتیاز CVSS 3.x برابر با 8.1 (بحرانی) است. این امتیاز نشاندهنده خطر بسیار بالای این آسیبپذیری و امکان سوءاستفاده آسان از آن توسط مهاجمان است.
اقدامات ضروری:
توصیه میشود تمامی کاربران افزونه Metform، به ویژه آنهایی که از نسخههای آسیبپذیر استفاده میکنند، هرچه سریعتر به نسخه 3.2.5 یا بالاتر بروزرسانی کنند. همچنین، بررسی و اعمال تنظیمات امنیتی مناسب بر روی سرور و افزونههای دیگر نیز ضروری است.
جمعبندی:
آسیبپذیری CVE-2023-0714 یک تهدید جدی برای امنیت وبسایتهایی است که از افزونه Metform استفاده میکنند. لذا، بروزرسانی سریع و اعمال اقدامات امنیتی مناسب، برای جلوگیری از سوءاستفاده مهاجمان از این آسیبپذیری، امری حیاتی است.