هک بیش از ۳۵۰۰ وبسایت برای استخراج رمزارز به صورت مخفیانهعملیات جاسوسی APT41 علیه زیرساختهای فناوری اطلاعات آفریقاDCHSpy: جاسوسافزاری ایرانی که با پوشش اپ VPN و اینترنت ماهوارهای، فعالان را هدف قرار میدهدCVE‑۲۰۲۱‑۴۱۷۷۳: نحوه کارکرد و راههای بهرهبرداری از ضعف path traversal و RCE در Apache 2.4.49/50بررسی CVE‑۲۰۲۵‑۴۳۸۰: افزونه Ads Pro وردپرس در معرض خطر Local File InclusionFortify (OpenText SAST) : تحلیل ایستا و جامع امنیت نرمافزارFlawnter : ابزار SAST سبک و هوشمند برای امنیت کدExploit Pack : فریمورک قدرتمند برای تست نفوذ و حملات Red Team
افزونه Ads Pro وردپرس (نسخه ≤ ۴.۸۹) دارای ضعف LFI از طریق پارامتر bsa_template است. مهاجم بدون نیاز به ورود، قادر به خواندن یا اجرای فایلهای روی سرور است. براساس نهاد NVD، این آسیبپذیری امتیاز ۹.۸ (CVSS 3.1) دارد و اهمیت بالا برای رفع فوری دارد.
افزونه Ads Pro یک ابزار محبوب برای مدیریت تبلیغات در سایتهای وردپرس است. با این حال نسخههای تا و شامل ۴.۸۹ دارای آسیبپذیری LFI هستند که امکان دسترسی غیرمجاز به فایلهای سرور را فراهم میکند.
نقطه آسیبپذیری در تابع bsa_preview_callback واقع شده است که پارامتر bsa_template را بدون بررسی مناسب دریافت و اجرای فایل را ممکن میکند. این ضعف نیازی به احراز هویت ندارد.
بر اساس گزارش NVD (منتشر شده در ۲ ژوئیه ۲۰۲۵)، امتیاز شدت این آسیبپذیری در سیستم CVSS 3.x برابر با ۹.۸ (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H) است.
همچنین ابزارهای اثبات مفهوم مانند اسکریپتهای پایتونی منتشر شدهاند که توانایی خواندن فایلهایی مانند /etc/passwd یا wp-config.php را دارند.
برای کاهش خطر، توصیه میشود افزونه را به نسخهای بدون این ضعف بهروزرسانی یا موقتا غیرفعال کنید. همچنین، بررسی فایلهای سرور و سیاستهای کنترل دسترسی توصیه میشود.
دیدگاهتان را بنویسید