Уязвимость высокой степени серьезности плагина WordPress Nested Pages • Продвижение Web 2.0

Национальная база данных уязвимостей США (NVD) и Wordfence опубликовали предупреждение о высокой степени серьезности уязвимости Cross Site Request Forgery (CSRF), влияющей на плагин Nested Pages WordPress и затрагивающей до +100 000 установок. Уязвимость получила оценку Common Vulnerability Scoring System (CVSS) 8,8 по шкале от 1 до 10, где десять соответствует наивысшему уровню серьезности.

Подделка межсайтовых запросов (CSRF)

Подделка межсайтовых запросов (CSRF) — это тип атаки, использующий уязвимость безопасности плагина Nested Pages, которая позволяет неавторизованным злоумышленникам вызывать (выполнять) файлы PHP, которые являются файлами уровня кода WordPress.

Отсутствует или некорректна проверка одноразовых данных, которая является распространенной функцией безопасности, используемой в плагинах WordPress для защиты форм и URL-адресов. Второй недостаток плагина — отсутствующая функция безопасности, называемая санацией. Санация — это метод защиты данных, которые вводятся или выводятся, который также распространен в плагинах WordPress, но в этом случае отсутствует.

По данным Wordfence:

«Это связано с отсутствием или некорректной проверкой одноразового значения в функции settingsPage, а также с отсутствием санации параметра tab».

Атака CSRF основана на том, что вошедший в WordPress пользователь (например, администратор) нажимает на ссылку, что в свою очередь позволяет злоумышленнику завершить атаку. Эта уязвимость имеет рейтинг 8,8, что делает ее угрозой высокой степени серьезности. Для сравнения, оценка 8,9 — это угроза критического уровня, которая является еще более высоким уровнем. Таким образом, 8,8 — это угроза критического уровня.

Эта уязвимость затрагивает все версии плагина Nested Pages до версии 3.2.7 включительно. Разработчики плагина выпустили исправление безопасности в версии 3.2.8 и ответственно опубликовали подробности обновления безопасности в своем журнале изменений.

Официальный журнал изменений документирует исправление безопасности:

«Обновление безопасности, устраняющее проблему CSRF в настройках плагина»

Прочитайте рекомендацию на Wordfence:

ЧИТАТЬ Генеральный директор Applied Therapeutics уходит в отставку – ThePharmaMedia

Вложенные страницы

Ознакомьтесь с рекомендациями NVD:

Подробности CVE-2024-5943

Главное изображение Shutterstock/Dean Drobot

Source link