2024-07-09

Cross Site Request Forgery (CSRF)

Narodowa Baza Danych Vulnerability (NVD)USA i Wordfence opublikowały ostrzeżenie o podatności na atak typu Cross Site Request Forgery (CSRF) o wysokim stopniu groźności, wpływającą na wtyczkę Nested Pages WordPress, która jest zainstalowana w ponad 100 000 witrynach. Podatność otrzymała ocenę na skali Common Vulnerability Scoring System (CVSS) wynoszącą 8,8 na 10, gdzie dziesięć to najwyższy poziom grożności.
Cross Site Request Forgery (CSRF) to atak, który wykorzystuje lukę w zabezpieczeniach wtyczki Nested Pages, umożliwiając nieuwierzytelnionym atakującym wykonanie plików PHP, które są plikami kodowymi WordPress.
W wtyczce występuje brak lub niepoprawne sprawdzanie nonce, które jest powszechnie stosowaną funkcją zabezpieczającą formularze i adresy URL w wtyczkach WordPress. Drugi błąd w wtyczce to brak funkcji zabezpieczającej zwanej sanitization. Sanitization jest metodą zabezpieczania danych wejściowych i wyjściowych, również powszechnie stosowaną w wtyczkach WordPress, ale w tym przypadku jest pominięta.
Według Wordfence:
„To wynika z braku lub niepoprawnej walidacji nonce w funkcji 'settingsPage’ i braku 'santization’ parametru 'tab’.”
Atak CSRF polega na zainicjowaniu kliknięcia przez zalogowanego użytkownika WordPress (np. Administratora) w link, co umożliwia przeprowadzenie ataku przez hejtera. Ta podatność otrzymała ocenę 8,8, co czyni ją poważnym zagrożeniem. Dla porównania, ocena 8,9 oznaczałaby zagrożenie na poziomie krytycznym, co jest jeszcze bardziej niebezpieczne. Dlatego na poziomie 8,8 jest to tylko o krok od poziomu krytycznego zagrożenia.
Podatność ta dotyczy wszystkich wersji wtyczki Nested Pages do wersji 3.2.7 włącznie. Deweloperzy wtyczki wydali poprawkę w wersji 3.2.8 i odpowiedzialnie opublikowali szczegóły aktualizacji zabezpieczeń w changelogu.
Oficjalny changelog dokumentuje poprawkę zabezpieczeń:
„Aktualizacja zabezpieczająca przed atakiem CSRF w ustawieniach wtyczki”
Obejrzyj pełne ostrzeżenie na stronie Wordfence:
Nested Pages <= 3.2.7 – Cross-Site Request Forgery to Local File Inclusion
Obejrzyj pełne ostrzeżenie na stronie NVD:
CVE-2024-5943 Detail
Obrazek główny: Shutterstock/Dean Drobot

Najnowsze komentarze

Brak komentarzy do wyświetlenia.
About

Lorem ipsum dolor sit amet, consectet cing elit, sed do eiusmod tempor inc ididunt utore et dolore magna aliqua ut.