یک آسیب‌پذیری در افزونه ثبت‌نام کاربران وردپرس کشف شده است که باعث نفوذ مهاجمان به سیستم قربانی می‌شود.
 
به گزارش افتانا به نقل از فیدلی، افزونه ثبت نام کاربر برای وردپرس به دلیل وجود یک کلید رمزگذاری سخت کدگذاری شده و عدم تأیید اعتبار نوع فایل در عملکرد «ur_upload_profile_pic» در نسخه‌های ۳.۰.۲ و پیش از آن، در برابر آپلود فایل‌های دلخواه آسیب‌پذیر است.
 
این آسیب پذیری با شناسه CVE-2023-3342 و امتیاز ۹.۹ ارزیابی شده است که بیش از ۶۰ هزار نصب فعال دارد.
 
مهاجم تایید هویت نشده می‌تواند، با قابلیت‌های مشترک یا بالاتر فایل‌های ساختگی از جمله فایل‌های  PHP را در سرور سایت آسیب پذیر آپلود کند و منجر به اجرای کد از راه دور شود.
 
این آسیب پذیری در نسخه ۳.۰.۲.۱ برطرف شده است. به کاربران توصیه می شود، تأیید هویت دو مرحله‌ای را در وردپرس فعال کرده و رمزهای عبور را تغییر دهند، بخصوص اگر از همان ترکیب‌های اعتبار در سایت‌های دیگر استفاده شده باشد. همچنین، توصیه می‌شود مدیران، سایت‌هایشان را به آخرین نسخه وصله شده ثبت نام کاربر، به‌روزرسانی کنند.

منبع: feedly