Как опытный веб-мастер, который видел немало уязвимостей плагинов WordPress, я не могу не подчеркнуть, насколько важно поддерживать ваши плагины в актуальном состоянии. Недавние рекомендации по безопасности, касающиеся плагина Nested Pages и его серьезной уязвимости подделки межсайтовых запросов (CSRF), являются ярким примером того, почему это так важно.
NVD в США и Wordfence выпустили предупреждение о критической уязвимости подделки межсайтовых запросов (CSRF) в плагине Nested Pages для WordPress. Эта проблема затрагивает более 100 000 установок и получила оценку CVSS 8,8 из 10 — самый высокий уровень серьезности по этой шкале.
Подделка межсайтовых запросов (CSRF)
Атаки CSRF (межсайтовая подделка запросов) используют уязвимость в плагине WordPress Nested Pages. Несанкционированные злоумышленники могут инициировать выполнение файлов PHP, обманным путем отправляя запросы к сайтам WordPress ничего не подозревающих пользователей, что приводит к нежелательным действиям или изменению данных.
Проще говоря, в этом плагине WordPress существует проблема с проверкой nonce. Nonce — это мера безопасности, используемая для защиты форм и URL-адресов от вредоносных атак. Кроме того, в плагине отсутствует санитарная обработка как функция безопасности. Очистка — это метод защиты данных, которые вводятся или выводятся, что важно для плагинов WordPress, но, к сожалению, здесь отсутствует.
«Проблема возникает из-за отсутствия или неточности проверки nonce в функции settingsPage, а также из-за отсутствия очистки параметра tab».
Атака CSRF нацелена на пользователей с активными сеансами WordPress, таких как администраторы, заставляя их невольно нажимать на вредоносные ссылки. В результате злоумышленник может осуществить атаку. При уровне серьезности 8,8 эта уязвимость считается высокой степенью риска — лишь немного ниже угрозы критического уровня, которая имеет оценку 8,9.
Все версии плагина Nested Pages, начиная с самой ранней версии 3.2.7 и до настоящей, были идентифицированы как имеющие эту уязвимость. Разработчики решили эту проблему, выпустив обновление безопасности версии 3.2.8. Они добросовестно раскрыли особенности этого обновления в своем журнале изменений.
Официальный журнал изменений документирует исправление безопасности:
«Обновление безопасности, устраняющее проблему CSRF в настройках плагина»
Прочитайте рекомендации на сайте Wordfence:
Вложенные страницы <= 3.2.7 – подделка межсайтового запроса для включения локального файла
Прочитайте рекомендацию в ПНВ:
CVE-2024-5943 Подробности
Смотрите также
- Почему контент важен для SEO
- Акции SBER. Сбербанк: прогноз акций.
- Google о том, почему простые факторы не являются сигналами ранжирования
- Акции MSRS. Россети Московский регион: прогноз акций.
- Максимальная эффективность для привлечения потенциальных клиентов: передовые стратегии и подводные камни, которых следует избегать
- Google обновляет всю документацию по сканеру
- Акции KZOS. Казаньоргсинтез: прогноз акций.
- Patchstack WordPress Security получает финансирование в размере 5 миллионов долларов и добавляет в совет директоров соучредителя Yoast
- Акции PHOR. ФосАгро: прогноз акций.
- Page Speed Insights: 6 эффективных советов по оптимизации вашего веб-сайта
2024-07-08 13:08