کشف آسیب‌پذیری در Guest Entries و امکان اجرای کد از راه دور

Guest Entries یک کتابخانه در PHP است که به کاربران این امکان را می‌دهد تا ورودی‌ها را در front-end یک سایت ایجاد، به‌روزرسانی و حذف کنند. یک آسیب‌پذیری در Guest Entries با شناسه CVE-2023-47621 و شدت 8.8 شناسایی شد که به‌دلیل عدم بررسی ویژگی آپلود فایل (file uploads feature)، از بارگذاری فایل‌های PHP جلوگیری نکرده و امکان اجرای کد از راه دور را بر روی سرور برای مهاجم احرازهویت شده فراهم می‌آورد. عدم بررسی ورودی نامعتبر و ناشناخته و جلوگیری از انتشار آن، منجر به آسیب‌پذیری آپلود نامحدود فایل می‌شود و به مهاجم اجازه می دهد تا فایل‌های مخرب را آپلود کند و یا انتقال دهد که می‌توانند به طور خودکار در محصول پردازش شوند. این آسیب‌پذیری محرمانه بودن، یکپارچگی و در دسترس بودن داده‌ها را تحت تأثیر قرار می‌دهد.

آسیب‌پذیری مذکور، بسته doublethreedigital/guest-entries (Composer) و duncanmcclean/guest-entries (Composer) نسخه قبل از 3.1.2 را تحت تاثیر قرار می‌دهد.

توصیه می‌شود کاربران در اسرع وقت نسبت به ارتقاء Guest Entries به نسخه 3.1.2 اقدام نمایند.