Как опытный веб-мастер, который видел немало уязвимостей плагинов WordPress, я не могу не подчеркнуть, насколько важно поддерживать ваши плагины в актуальном состоянии. Недавние рекомендации по безопасности, касающиеся плагина Nested Pages и его серьезной уязвимости подделки межсайтовых запросов (CSRF), являются ярким примером того, почему это так важно.
💰 Настало время зарабатывать!
Top Crypto покажет лучшие монеты для реального роста!
NVD в США и Wordfence выпустили предупреждение о критической уязвимости подделки межсайтовых запросов (CSRF) в плагине Nested Pages для WordPress. Эта проблема затрагивает более 100 000 установок и получила оценку CVSS 8,8 из 10 — самый высокий уровень серьезности по этой шкале.
Подделка межсайтовых запросов (CSRF)
Атаки CSRF (межсайтовая подделка запросов) используют уязвимость в плагине WordPress Nested Pages. Несанкционированные злоумышленники могут инициировать выполнение файлов PHP, обманным путем отправляя запросы к сайтам WordPress ничего не подозревающих пользователей, что приводит к нежелательным действиям или изменению данных.
Проще говоря, в этом плагине WordPress существует проблема с проверкой nonce. Nonce — это мера безопасности, используемая для защиты форм и URL-адресов от вредоносных атак. Кроме того, в плагине отсутствует санитарная обработка как функция безопасности. Очистка — это метод защиты данных, которые вводятся или выводятся, что важно для плагинов WordPress, но, к сожалению, здесь отсутствует.
«Проблема возникает из-за отсутствия или неточности проверки nonce в функции settingsPage, а также из-за отсутствия очистки параметра tab».
Атака CSRF нацелена на пользователей с активными сеансами WordPress, таких как администраторы, заставляя их невольно нажимать на вредоносные ссылки. В результате злоумышленник может осуществить атаку. При уровне серьезности 8,8 эта уязвимость считается высокой степенью риска — лишь немного ниже угрозы критического уровня, которая имеет оценку 8,9.
Все версии плагина Nested Pages, начиная с самой ранней версии 3.2.7 и до настоящей, были идентифицированы как имеющие эту уязвимость. Разработчики решили эту проблему, выпустив обновление безопасности версии 3.2.8. Они добросовестно раскрыли особенности этого обновления в своем журнале изменений.
Официальный журнал изменений документирует исправление безопасности:
«Обновление безопасности, устраняющее проблему CSRF в настройках плагина»
Прочитайте рекомендации на сайте Wordfence:
Вложенные страницы <= 3.2.7 – подделка межсайтового запроса для включения локального файла
Прочитайте рекомендацию в ПНВ:
CVE-2024-5943 Подробности
Смотрите также
- Акции DATA. Группа Аренадата: прогноз акций.
- Обзоры ИИ от Google с дублирующими ссылками
- Как выявить и сократить ресурсы, блокирующие рендеринг
- Новое руководство по эффективности рекламных кампаний Google: лучшие практики
- Оценка классификации AGC искусственно созданного контента Google?
- Обзор AI: Мы Провели Обратную Инженерию, Чтобы Вам Не Пришлось Это Делать [+ Что Нужно Сделать Дальше]
- Как разрешить конфликт плагинов в WordPress?
- ТикТок запускает Сноски: свой ответ на Комментарии Сообщества от X
- Биткоин Киты: Новые Аристократы Финансового Хаоса 💰
- Мартин Шпилт из Google рассказал о 3 ошибках в SEO для JavaScript и как их исправить
2024-07-08 13:08