Как опытный веб-мастер, который видел немало уязвимостей плагинов WordPress, я не могу не подчеркнуть, насколько важно поддерживать ваши плагины в актуальном состоянии. Недавние рекомендации по безопасности, касающиеся плагина Nested Pages и его серьезной уязвимости подделки межсайтовых запросов (CSRF), являются ярким примером того, почему это так важно.
Купил акции на все деньги, а они упали? А Илон Маск снова написал твит? Знакомо. У нас тут клуб тех, кто пытается понять этот цирк и не сойти с ума.
Купить на падении (нет)NVD в США и Wordfence выпустили предупреждение о критической уязвимости подделки межсайтовых запросов (CSRF) в плагине Nested Pages для WordPress. Эта проблема затрагивает более 100 000 установок и получила оценку CVSS 8,8 из 10 — самый высокий уровень серьезности по этой шкале.
Подделка межсайтовых запросов (CSRF)
Атаки CSRF (межсайтовая подделка запросов) используют уязвимость в плагине WordPress Nested Pages. Несанкционированные злоумышленники могут инициировать выполнение файлов PHP, обманным путем отправляя запросы к сайтам WordPress ничего не подозревающих пользователей, что приводит к нежелательным действиям или изменению данных.
Проще говоря, в этом плагине WordPress существует проблема с проверкой nonce. Nonce — это мера безопасности, используемая для защиты форм и URL-адресов от вредоносных атак. Кроме того, в плагине отсутствует санитарная обработка как функция безопасности. Очистка — это метод защиты данных, которые вводятся или выводятся, что важно для плагинов WordPress, но, к сожалению, здесь отсутствует.
«Проблема возникает из-за отсутствия или неточности проверки nonce в функции settingsPage, а также из-за отсутствия очистки параметра tab».
Атака CSRF нацелена на пользователей с активными сеансами WordPress, таких как администраторы, заставляя их невольно нажимать на вредоносные ссылки. В результате злоумышленник может осуществить атаку. При уровне серьезности 8,8 эта уязвимость считается высокой степенью риска — лишь немного ниже угрозы критического уровня, которая имеет оценку 8,9.
Все версии плагина Nested Pages, начиная с самой ранней версии 3.2.7 и до настоящей, были идентифицированы как имеющие эту уязвимость. Разработчики решили эту проблему, выпустив обновление безопасности версии 3.2.8. Они добросовестно раскрыли особенности этого обновления в своем журнале изменений.
Официальный журнал изменений документирует исправление безопасности:
«Обновление безопасности, устраняющее проблему CSRF в настройках плагина»
Прочитайте рекомендации на сайте Wordfence:
Вложенные страницы <= 3.2.7 – подделка межсайтового запроса для включения локального файла
Прочитайте рекомендацию в ПНВ:
CVE-2024-5943 Подробности
Смотрите также
- Анализ динамики цен на криптовалюту STX: прогнозы STX
- Анализ динамики цен на криптовалюту ENA: прогнозы ENA
- СЕО Рокстар «доказывает», что мета-описания не нужны
- Анализ динамики цен на криптовалюту FIL: прогнозы FIL
- Основные плагины WordPress, которые должен иметь каждый сайт.
- Анализ динамики цен на криптовалюту WLD: прогнозы WLD
- Объяснение Великого Отвязывания Высшему Руководству
- Анализ динамики цен на криптовалюту JUP: прогнозы JUP
- Анализ динамики цен на криптовалюту CRO: прогнозы CRO
- Анализ динамики цен на криптовалюту SPX: прогнозы SPX
2024-07-08 13:08