Как опытный веб-мастер, который видел немало уязвимостей плагинов WordPress, я не могу не подчеркнуть, насколько важно поддерживать ваши плагины в актуальном состоянии. Недавние рекомендации по безопасности, касающиеся плагина Nested Pages и его серьезной уязвимости подделки межсайтовых запросов (CSRF), являются ярким примером того, почему это так важно.
NVD в США и Wordfence выпустили предупреждение о критической уязвимости подделки межсайтовых запросов (CSRF) в плагине Nested Pages для WordPress. Эта проблема затрагивает более 100 000 установок и получила оценку CVSS 8,8 из 10 — самый высокий уровень серьезности по этой шкале.
Подделка межсайтовых запросов (CSRF)
Атаки CSRF (межсайтовая подделка запросов) используют уязвимость в плагине WordPress Nested Pages. Несанкционированные злоумышленники могут инициировать выполнение файлов PHP, обманным путем отправляя запросы к сайтам WordPress ничего не подозревающих пользователей, что приводит к нежелательным действиям или изменению данных.
Проще говоря, в этом плагине WordPress существует проблема с проверкой nonce. Nonce — это мера безопасности, используемая для защиты форм и URL-адресов от вредоносных атак. Кроме того, в плагине отсутствует санитарная обработка как функция безопасности. Очистка — это метод защиты данных, которые вводятся или выводятся, что важно для плагинов WordPress, но, к сожалению, здесь отсутствует.
«Проблема возникает из-за отсутствия или неточности проверки nonce в функции settingsPage, а также из-за отсутствия очистки параметра tab».
Атака CSRF нацелена на пользователей с активными сеансами WordPress, таких как администраторы, заставляя их невольно нажимать на вредоносные ссылки. В результате злоумышленник может осуществить атаку. При уровне серьезности 8,8 эта уязвимость считается высокой степенью риска — лишь немного ниже угрозы критического уровня, которая имеет оценку 8,9.
Все версии плагина Nested Pages, начиная с самой ранней версии 3.2.7 и до настоящей, были идентифицированы как имеющие эту уязвимость. Разработчики решили эту проблему, выпустив обновление безопасности версии 3.2.8. Они добросовестно раскрыли особенности этого обновления в своем журнале изменений.
Официальный журнал изменений документирует исправление безопасности:
«Обновление безопасности, устраняющее проблему CSRF в настройках плагина»
Прочитайте рекомендации на сайте Wordfence:
Вложенные страницы <= 3.2.7 – подделка межсайтового запроса для включения локального файла
Прочитайте рекомендацию в ПНВ:
CVE-2024-5943 Подробности
Смотрите также
- Бета-версия Audience Insights Google Merchant Center
- Акции KZOS. Казаньоргсинтез: прогноз акций.
- Отслеживайте Санту с помощью NORAD и Google в канун Рождества 2024 года
- Google запускает новый вид «24 часа» в консоли поиска
- Получение поддержки на уровне руководителей для SEO-инициатив
- 10 стратегических идей SEO и тактических советов на 2025 год и последующий период
- Как маркетологи могут адаптироваться к тому, чтобы поставить качество выше количества
- Революция в маркетинге: рост стратегий ситуационного контента
- Google Ads разрешит рекламу курьеров по фэнтези-спорту и лотереям во многих штатах
- Устаревшие инструменты и отчеты Google Search Console удалены
2024-07-08 13:08