Wing FTP Server در معرض تهدید RCE: نقص Lua و Null Byte در نسخههای قدیمی چگونه خطرناکند؟ظهور مجدد Pay2Key.I2P: باجافزاری ایرانی با انگیزههای ایدئولوژیک و سود بالاخلاصه خبری هفته: نقص بحرانی SharePoint، بدافزار macOS، باگ NVIDIA و تهدیدات مرورگرهک GitHub تپتال: انتشار ۱۰ بسته npm مخرب با دانلود بیش از ۵٬۰۰۰ بارچرا React مانع XSS نشد: کتابچه جدید حملات تزریق جاوااسکریپتچگونه مرورگرها به اصلیترین سطح حمله سایبری در سال ۲۰۲۵ تبدیل شدند؟ظهور Chaos RaaS پس از نابودی BlackSuit: باجافزاری جدید با شیوههای پیچیده حملههشدار رسمی PyPI: حملات فیشینگ هدفمند علیه توسعهدهندگان پایتون در جریان است
افزونه Ads Pro وردپرس (نسخه ≤ ۴.۸۹) دارای ضعف LFI از طریق پارامتر bsa_template است. مهاجم بدون نیاز به ورود، قادر به خواندن یا اجرای فایلهای روی سرور است. براساس نهاد NVD، این آسیبپذیری امتیاز ۹.۸ (CVSS 3.1) دارد و اهمیت بالا برای رفع فوری دارد.
افزونه Ads Pro یک ابزار محبوب برای مدیریت تبلیغات در سایتهای وردپرس است. با این حال نسخههای تا و شامل ۴.۸۹ دارای آسیبپذیری LFI هستند که امکان دسترسی غیرمجاز به فایلهای سرور را فراهم میکند.
نقطه آسیبپذیری در تابع bsa_preview_callback واقع شده است که پارامتر bsa_template را بدون بررسی مناسب دریافت و اجرای فایل را ممکن میکند. این ضعف نیازی به احراز هویت ندارد.
بر اساس گزارش NVD (منتشر شده در ۲ ژوئیه ۲۰۲۵)، امتیاز شدت این آسیبپذیری در سیستم CVSS 3.x برابر با ۹.۸ (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H) است.
همچنین ابزارهای اثبات مفهوم مانند اسکریپتهای پایتونی منتشر شدهاند که توانایی خواندن فایلهایی مانند /etc/passwd یا wp-config.php را دارند.
برای کاهش خطر، توصیه میشود افزونه را به نسخهای بدون این ضعف بهروزرسانی یا موقتا غیرفعال کنید. همچنین، بررسی فایلهای سرور و سیاستهای کنترل دسترسی توصیه میشود.
دیدگاهتان را بنویسید