3个WordPress插件中的高严重性漏洞影响了84000个网站

哈客cc lv.2

发布时间：2022-02-02 00:43:18 419

相关标签： # 漏洞# 研究# 攻击# 缺陷

研究人员已经披露了一个影响三个不同WordPress插件的安全缺陷，这些插件影响了84000多个网站，并且可能被恶意参与者滥用来接管易受攻击的网站。

WordPress安全公司Wordfence在上周发布的一份报告中称：“该漏洞使攻击者能够在易受攻击的网站上更新任意网站选项，前提是这些选项可能会诱使网站管理员执行某项操作，例如单击链接。”。

跨站点请求伪造（CSRF）缺陷被追踪为CVE-2022-0215，在CVSS等级上被评为8.8级，影响Xootix和#8212维护的三个插件；

当经过身份验证的最终用户被攻击者诱骗提交精心编制的web请求时，就会发生跨站点请求伪造，也称为一键攻击或会话骑乘。“如果受害者是一个管理帐户，CSRF可能会破坏整个web应用程序，”OWASP在其文档中指出。

具体而言，该漏洞源于在处理AJAX请求时缺乏验证，有效地使攻击者能够将网站上的“用户可以注册”（即任何人都可以注册）选项更新为true，并将“默认角色”设置（即在博客上注册的用户的默认角色）设置为administrator，授予完全控制权。

在2021年11月WordWaldEngress研究人员的负责披露之后，这个问题已经在登录/注册弹出版本2.3、侧车WooBoice版本2.1和WoistLooWooCudio2.5.2中得到解决。

一个多月前，攻击者利用四个插件和15个Epsilon框架主题的弱点，以160万个WordPress网站为目标，发起了一场来自16000个IP地址的大规模攻击活动。

“尽管这个跨站点请求伪造（CSRF）漏洞不太可能被利用，因为它需要管理员交互，它可能会对成功被利用的站点产生重大影响，因此，Wordfence的Chloe Chamberland说：“这是一个极其重要的提醒，提醒你在点击链接或附件时要保持警惕，并确保你定期更新插件和主题。”。

特别声明：以上内容（图片及文字）均为互联网收集或者用户上传发布，本站仅提供信息存储服务！如有侵权或有涉及法律问题请联系我们。