مهاجمان با سوءاستفاده از آسیبپذیری بحرانی در Telegram Bot for WordPress به اطلاعات حساس در سیستم دسترسی پیدا کند و توکن ربات تلگرام را که یک توکن محرمانه برای کنترل ربات است، مشاهده کنند.
دریافت صفحه با کد QR
این آسیبپذیری در Telegram Bot for WordPress راهکاری ندارد
NIST , 2 آبان 1403 ساعت 12:57
مهاجمان با سوءاستفاده از آسیبپذیری بحرانی در Telegram Bot for WordPress به اطلاعات حساس در سیستم دسترسی پیدا کند و توکن ربات تلگرام را که یک توکن محرمانه برای کنترل ربات است، مشاهده کنند.
مهاجمان با سوءاستفاده از آسیبپذیری بحرانی در Telegram Bot for WordPress به اطلاعات حساس در سیستم دسترسی پیدا کند و توکن ربات تلگرام را که یک توکن محرمانه برای کنترل ربات است، مشاهده کنند.
به گزارش افتانا، یک آسیبپذیری با شناسه CVE-2024-9627 و شدت 8.6 (بحرانی) در Telegram Bot for WordPress شناسایی شده است. مهاجم میتواند به دلیل عدم بررسی مجوزها در تابع service_process، به اطلاعات حساس درسیستم دسترسی پیدا کند و توکن ربات تلگرام را که یک توکن محرمانه برای کنترل ربات است، مشاهده کنند.
بر اساس بردار حمله این آسیبپذیری CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:L: بهرهبرداری از آن از طریق شبکه خارجی و از راه دور انجام میشود (AV:N/AC:L)، این حمله به سطح دسترسی خاصی نیاز ندارد و بدون تایید کاربر انجام میشود (PR:N/UI:N)، بهرهبرداری از آسیبپذیری مذکور بر سایر منابع امنیتی تأثیر نمیگذارد (S:U)، این نقص امنیتی محرمانگی را با شدت بالا تحت تاثیر قرار میدهد ولی تاثیر چندانی بر یکپارچگی و دسترسی سیستم ندارد.(C:H/I:L/A:L)
این آسیبپذیری روی نسخه 1.3 و تمام نسخههای ماقبل آن تاثیرگذار است و در حال حاضر راهکاری برای برطرف کردن آن پیدا نشده است.
کد مطلب: 22519