Missing Authorization vulnerability in WPweb Follow My Blog Post allows Exploiting Incorrectly Configured Access Control Security Levels.This issue affects Follow My Blog Post: from n/a through 2.4.0.
A missing authorization vulnerability (CWE-862) has been identified in the WPweb Follow My Blog Post WordPress plugin affecting versions up to 2.4.0. The flaw allows unauthorized attackers to exploit misconfigured access control mechanisms, potentially gaining unauthorized access to restricted functionality with a CVSS score of 7.5 (High). No exploit code or patch is currently available.
تمثل هذه الثغرة الأمنية خطراً كبيراً على المواقع الإلكترونية التي تستخدم إضافة Follow My Blog Post لووردبريس، حيث تنبع من غياب آليات التحقق من الصلاحيات بشكل صحيح. يمكن للمهاجمين استغلال هذا الضعف للوصول إلى وظائف إدارية أو حساسة دون امتلاك الصلاحيات المطلوبة، مما يعرض سرية وسلامة البيانات للخطر. تؤثر الثغرة على جميع الإصدارات حتى 2.4.0، وتتطلب إجراءات فورية للحماية نظراً لعدم توفر تحديث رسمي حتى الآن. يُصنف هذا النوع من الثغرات ضمن أخطاء التحكم بالوصول الأكثر شيوعاً والأكثر خطورة في تطبيقات الويب.
تم اكتشاف ثغرة أمنية تتعلق بغياب آليات التفويض (CWE-862) في إضافة Follow My Blog Post لووردبريس من WPweb تؤثر على الإصدارات حتى 2.4.0. تسمح الثغرة للمهاجمين غير المصرح لهم باستغلال آليات التحكم بالوصول المُعدّة بشكل خاطئ، مما قد يمنحهم وصولاً غير مصرح به إلى وظائف محظورة بدرجة خطورة 7.5 (عالية). لا يوجد حالياً كود استغلال أو تحديث أمني متاح.
1. Immediately disable or uninstall the Follow My Blog Post plugin (versions up to 2.4.0) from all WordPress installations until an official security patch is released by the vendor.
2. Implement Web Application Firewall (WAF) rules to monitor and block suspicious access attempts to WordPress administrative functions, and enable comprehensive logging for all authentication and authorization events.
3. Conduct a thorough security audit of all WordPress installations to identify potential unauthorized access incidents, review user accounts and permissions, and implement the principle of least privilege across all administrative functions.
1. تعطيل أو إزالة إضافة Follow My Blog Post (الإصدارات حتى 2.4.0) فوراً من جميع تثبيتات ووردبريس حتى صدور تحديث أمني رسمي من المطور.
2. تطبيق قواعد جدار حماية تطبيقات الويب (WAF) لمراقبة وحظر محاولات الوصول المشبوهة إلى وظائف ووردبريس الإدارية، وتفعيل التسجيل الشامل لجميع أحداث المصادقة والتفويض.
3. إجراء تدقيق أمني شامل لجميع تثبيتات ووردبريس لتحديد حوادث الوصول غير المصرح به المحتملة، ومراجعة حسابات المستخدمين والصلاحيات، وتطبيق مبدأ الحد الأدنى من الامتيازات عبر جميع الوظائف الإدارية.