خطر افزایش سطح دسترسی از راه افزونه JetFormBuilder وردپرس

یک آسیب‌پذیری در افزونه JetFormBuilder کشف شده است که به دلیل محدودیت نامناسب در فیلدهای متای کاربر رخ می‌دهد و منجر به ارتقای سطح دسترسی مهاجم می‌شود.

به گزارش افتانا، یک آسیب‌پذیری با شناسه CVE-2024-7291 و شدت 7.2 در افزونه JetFormBuilder کشف شده است. JetFormBuilder یک پلاگین فرم‌ساز برای وردپرس است که به کاربران و توسعه‌دهندگان قابلیت‌های متنوعی ازجمله ایجاد فرم‌های چندمرحله‌ای، فرم‌های سفارشی، ادغام با سرویس‌های مختلف و تنظیمات پیشرفته برای فیلدهای فرم را ارائه می‌دهد.

این آسیب‌پذیری به دلیل محدودیت نامناسب در فیلدهای متای کاربر رخ می‌دهد و منجر به ارتقای سطح دسترسی مهاجم می‌شود. در سایت‌هایی که به‌ صورت شبکه‌ای پیکربندی شده‌اند امکان ثبت‌نام مهاجم احراز هویت‌شده با سطح دسترسی مدیر به‌عنوان کاربری با سطح دسترسی بالاتر از مدیر را فراهم می‌کند.

این آسیب‌پذیری نسخه 3.3.4.1 و تمام نسخه‌‌های قبلی افزونه JetFormBuilder را تحت تاثیر قرار می‌دهد و به کاربران توصیه می‌شود افزونه را به نسخه 3.3.4.2 به‌روزرسانی کنند.

براساس بردار حمله این آسیب‌پذیری AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H پیچیدگی حمله پایین است و مهاجم می‌تواند از راه دور حمله را انجام دهد. بهره‌برداری از این آسیب‌پذیری نیازمند دسترسی به سطح بالایی از مجوزهاست. آسیب‌پذیری تأثیر بالایی بر محرمانگی دارد، مهاجم می‌تواند به اطلاعات حساس دسترسی پیدا کند و داده‌ها را دستکاری کند. بنابراین می‌تواند تأثیرات شدیدی بر محرمانگی، یکپارچگی و دسترس‌پذیری سیستم داشته باشد.