چندین آسیب پذیری وصله شده در افزونه Orbit Fox ThemeIsle

دی 28, 1399
ارسال شده توسط
اخبار امنیتی وردپرس

در 19 نوامبر سال 2020 (29 آبان 1399) ، تیم Threat Intelligence وردفنس  دو آسیب پذیری را در افزونه Orbit Fox ، افزونه ای که بیش از 400000 سایت از آن استفاده می کند ، فاش کردند. یکی از این نقص ها این امکان را برای مهاجمان با دسترسی سطح مشارکت کننده یا بالاتر فراهم می کند تا سطح خود را به یک مدیر افزایش دهند و به طور بالقوه یک سایت وردپرس را تصاحب کنند. نقص دیگر این امکان را برای مهاجمان با دسترسی سطح مشارکت کننده یا نویسنده برای تزریق جاوا اسکریپت به طور بالقوه مخرب به نوسته ها فراهم کرده است. از این نوع اسکریپت های مخرب می توان برای هدایت بازدیدکنندگان به سایت های malvertising یا ایجاد کاربران جدید مدیریتی ، در میان اقدامات دیگر استفاده کرد.

Orbit Fox افزونه ای است که برای بهبود ویرایشگرهای Elementor ، Beaver Builder و Gutenberg با ویژگی های اضافی مانند فرم های ثبت نام و همچنین سایر بلوک ها و ابزارک ها که می تواند هنگام ویرایش پست ها و صفحات استفاده شود ، طراحی شده است. به عنوان بخشی از افزونه ، یک ابزارک ثبت نام وجود دارد که می تواند هنگام ایجاد پلاگین های صفحه ساز Elementor و Beaver Builder ، یک فرم ثبت نام با فیلدهای قابل تنظیم ایجاد کند. در هنگام ایجاد فرم ثبت نام ، این افزونه توانایی تعیین نقش پیش فرض را فراهم می کند تا هر زمان که کاربر با استفاده از فرم ثبت نام می کند ، استفاده شود.

 

آسیب پذیری

توضیحات آسیب پذیری: افزایش سطح مجوز

افزونه: Orbit Fox

نسخه: کمتر یا مساوی 2.10.2

شناسه CVE: در صف

امتیاز CVSS: بحرانی (9.9)

CVSS Vector ا: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

نسخه کاملا وصله شده افزونه آسیب پذیر: 2.10.3

این آسیب پذیری های حیاتی و شدت متوسط ​​هستند. بنابراین ، به شدت توصیه می شود درصورت استفاده از این افزونه، فوراً به نسخه 2.10.3 به روز رسانی کنید. کاربران وردفنس پرمیوم برای محافظت در برابر سو استفاده هایی که این آسیب پذیری ها را هدف قرار می دهند ، در 19 نوامبر سال 2020 قانون فایروال را دریافت کردند. سایت هایی که هنوز از نسخه رایگان وردفنس استفاده می کنند ، در 19 دسامبر سال 2020 از همین محافظت برخوردار شدند. همینطور که میبینید کاربرانی که از افزونه رایگان وردفنس استفاده می کنند، یک ماه دیرتر این به روزرسانی قانون فایروال را دریافت می کنند، بنابراین بهتر است از افزونه پرمیوم وردفنس که رایگان در اختیار شما قرار می گیرد استفاده کنید.

درباره اسماعیل منصوری

از سال ۱۳۸۹ با طراحی سایت با زبانهای برنامه نویسی شروع کردم. خیلی زمانبر و دردسر داشت. اما الان طراحی سایت بدون کدنویسی را در زمانی کمتر و براحتی انجام میدم. دانلود رایگان ۲ فصل اول کتاب راز طراحی سایت بدون کدنویسی

دیدگاهتان را بنویسید