Национальная база данных уязвимостей (NVD) правительства США опубликовала рекомендацию о плагине Shortcodes Ultimate WordPress, предупредив, что он содержит уязвимость, связанную с подделкой межсайтовых запросов.
Shortcodes Ultimate — очень популярный плагин для WordPress, который имеет более 700 000 активных установок.
Уязвимость затрагивает версии плагинов старше текущей версии 5.12.2.
Уязвимость, связанная с подделкой межсайтовых запросов
Подделка межсайтовых запросов, обычно называемая CSRF, представляет собой тип уязвимости, которая в худшем случае может привести к полному захвату веб-сайта.
Такого рода уязвимости, как правило, вызваны поиском недостатков в программном обеспечении, которые могут вызвать изменение, которое затем может привести к непредвиденным последствиям.
Успешная атака обычно зависит от пользователя, например, с правами администратора, который щелкает ссылку и непреднамеренно раскрывает информацию, такую как файл cookie сеанса, который затем можно использовать для выдачи себя за этого человека.
Этот тип уязвимости зависит от социальной инженерии, которая манипулирует конечным пользователем для выполнения действия, которое затем использует уязвимость плагина.
Согласно Открытый проект безопасности веб-приложений (ОВАСП):
«CSRF — это атака, которая обманом заставляет жертву отправить вредоносный запрос.
Он наследует личность и привилегии жертвы для выполнения нежелательной функции от имени жертвы…
Для большинства сайтов запросы браузера автоматически включают любые учетные данные, связанные с сайтом, такие как файл cookie сеанса пользователя, IP-адрес, учетные данные домена Windows и т. д.
Поэтому, если пользователь в настоящее время аутентифицирован на сайте, сайт не сможет отличить поддельный запрос, отправленный жертвой, от законного запроса, отправленного жертвой».
Национальная база данных уязвимостей (NVD)
Национальная база данных уязвимостей опубликовала лишь некоторые подробности об уязвимости. В настоящее время нет полной разбивки самой уязвимости.
Бюллетень NVD опубликовал следующее:
«Уязвимость подделки межсайтовых запросов (CSRF) в плагине Shortcodes Ultimate <= 5.12.0 в WordPress, приводящая к изменению предустановленных настроек плагина».
Официальный Журнал изменений Shortcodes Ultimate GitHub был столь же расплывчатым, описывая обновление для устранения уязвимости:
«### 5.12.1
**Релиз безопасности**
Это обновление устраняет уязвимость системы безопасности в генераторе коротких кодов. Спасибо Дейву Джону за его открытие».
Тем временем репозиторий плагинов WordPress список изменений объяснитьс:
«Исправлена проблема с предустановками генератора шорткодов, появившаяся в предыдущем обновлении»
В приведенном выше журнале изменений, по-видимому, неправильно написано имя исследователя безопасности, которое написано правильно. Дэйв Янг, технический директор Patchstackчеловек, которому приписывают обнаружение уязвимости и сообщение о ней.
Рекомендуемый план действий
Издателям WordPress, которые в настоящее время используют плагин Shortcodes, следует рассмотреть возможность обновления до самой последней версии, которая на момент написания статьи является версией 5.12.2.
Цитаты
Прочтите информационный бюллетень по национальной базе данных уязвимостей
Прочитайте объявление о пакете исправлений
Плагин WordPress Shortcodes Ultimate <= 5.12.0 — уязвимость подделки межсайтовых запросов (CSRF)
Избранное изображение Shutterstock/Cookie Studio
