Как опытный веб-мастер, который видел немало уязвимостей плагинов WordPress, я не могу не подчеркнуть, насколько важно поддерживать ваши плагины в актуальном состоянии. Недавние рекомендации по безопасности, касающиеся плагина Nested Pages и его серьезной уязвимости подделки межсайтовых запросов (CSRF), являются ярким примером того, почему это так важно.
Купил акции на все деньги, а они упали? А Илон Маск снова написал твит? Знакомо. У нас тут клуб тех, кто пытается понять этот цирк и не сойти с ума.
Купить на падении (нет)NVD в США и Wordfence выпустили предупреждение о критической уязвимости подделки межсайтовых запросов (CSRF) в плагине Nested Pages для WordPress. Эта проблема затрагивает более 100 000 установок и получила оценку CVSS 8,8 из 10 — самый высокий уровень серьезности по этой шкале.
Подделка межсайтовых запросов (CSRF)
Атаки CSRF (межсайтовая подделка запросов) используют уязвимость в плагине WordPress Nested Pages. Несанкционированные злоумышленники могут инициировать выполнение файлов PHP, обманным путем отправляя запросы к сайтам WordPress ничего не подозревающих пользователей, что приводит к нежелательным действиям или изменению данных.
Проще говоря, в этом плагине WordPress существует проблема с проверкой nonce. Nonce — это мера безопасности, используемая для защиты форм и URL-адресов от вредоносных атак. Кроме того, в плагине отсутствует санитарная обработка как функция безопасности. Очистка — это метод защиты данных, которые вводятся или выводятся, что важно для плагинов WordPress, но, к сожалению, здесь отсутствует.
«Проблема возникает из-за отсутствия или неточности проверки nonce в функции settingsPage, а также из-за отсутствия очистки параметра tab».
Атака CSRF нацелена на пользователей с активными сеансами WordPress, таких как администраторы, заставляя их невольно нажимать на вредоносные ссылки. В результате злоумышленник может осуществить атаку. При уровне серьезности 8,8 эта уязвимость считается высокой степенью риска — лишь немного ниже угрозы критического уровня, которая имеет оценку 8,9.
Все версии плагина Nested Pages, начиная с самой ранней версии 3.2.7 и до настоящей, были идентифицированы как имеющие эту уязвимость. Разработчики решили эту проблему, выпустив обновление безопасности версии 3.2.8. Они добросовестно раскрыли особенности этого обновления в своем журнале изменений.
Официальный журнал изменений документирует исправление безопасности:
«Обновление безопасности, устраняющее проблему CSRF в настройках плагина»
Прочитайте рекомендации на сайте Wordfence:
Вложенные страницы <= 3.2.7 – подделка межсайтового запроса для включения локального файла
Прочитайте рекомендацию в ПНВ:
CVE-2024-5943 Подробности
Смотрите также
- Google: Почему 100 отрицательных ключевых слов для кампаний Google Ads PMax
- Анализ динамики цен на криптовалюту AVAX: прогнозы AVAX
- Солана собирается взорваться или развалиться? Узнай СЕЙЧАС! 😱
- Анализ динамики цен на криптовалюту ADA: прогнозы ADA
- Властная хватка Биткоина: Альткоины обречены или просто отдыхают? 🚀🤔
- Биткоинная феерия: акции ДиджиАзии взлетают как комедийный фарс! 💰
- Анализ динамики цен на криптовалюту FARTCOIN: прогнозы FARTCOIN
- Google предпочитает, чтобы рейтинги обзоров содержали имя автора и комментарии
- Акции привилегированные MGTSP. МГТС: прогноз акций привилегированных.
- Поиск Bing теперь показывает купоны в меню «Обзор»
2024-07-08 13:08