آسیب پذیری با شدت بالا افزونه صفحات تو در تو وردپرس

پایگاه داده آسیب‌پذیری ملی ایالات متحده (NVD) و Wordfence یک توصیه امنیتی درباره یک آسیب‌پذیری با شدت بالا Cross Site Request Forgery (CSRF) منتشر کردند که بر افزونه وردپرس Nested Pages تأثیر می‌گذارد و بیش از 100000 نصب را تحت تأثیر قرار می‌دهد. این آسیب‌پذیری رتبه‌بندی سیستم امتیازدهی آسیب‌پذیری مشترک (CVSS) 8.8 را در مقیاس 1 تا 10 دریافت کرد که ده نشان دهنده بالاترین سطح شدت بود.

جعل درخواست متقابل سایت (CSRF)

Cross Site Request Forgery (CSRF) نوعی حمله است که از یک نقص امنیتی در افزونه Nested Pages استفاده می‌کند که به مهاجمان احراز هویت نشده اجازه می‌دهد فایل‌های PHP را که فایل‌های سطح کد وردپرس هستند فراخوانی (اجرا) کنند.

یک اعتبار سنجی نادرست وجود ندارد یا نادرست است، که یک ویژگی امنیتی رایج است که در افزونه های وردپرس برای ایمن کردن فرم ها و URL ها استفاده می شود. دومین نقص در افزونه یک ویژگی امنیتی از دست رفته به نام پاکسازی است. Sanitization روشی برای ایمن سازی داده های ورودی یا خروجی است که در افزونه های وردپرس نیز رایج است اما در این مورد وجود ندارد.

به گزارش Wordfence:

“این به دلیل عدم تأیید اعتبار غیر صحیح یا نادرست در عملکرد “settingsPage” و عدم پاکسازی پارامتر “tab” است.”

حمله CSRF به دریافت یک کاربر وردپرس (مانند مدیر) برای کلیک کردن روی پیوندی که به نوبه خود به مهاجم اجازه می‌دهد حمله را کامل کند، متکی است. این آسیب پذیری دارای امتیاز 8.8 است که آن را به یک تهدید با شدت بالا تبدیل می کند. برای درک این موضوع، امتیاز 8.9 یک تهدید سطح بحرانی است که حتی یک سطح بالاتر است. بنابراین در 8.8 آن فقط کمتر از یک تهدید در سطح بحرانی است.

این آسیب‌پذیری تمامی نسخه‌های افزونه Nested Pages از جمله نسخه 3.2.7 را تحت تأثیر قرار می‌دهد. توسعه دهندگان این افزونه یک اصلاح امنیتی در نسخه 3.2.8 منتشر کردند و به طور مسئولانه جزئیات به روز رسانی امنیتی را در تغییرات خود منتشر کردند.

لاگ رسمی تغییرات، اصلاحات امنیتی را مستند می کند:

“به روز رسانی امنیتی برای رفع مشکل CSRF در تنظیمات افزونه”

مشاوره در Wordfence را بخوانید:

صفحات تو در تو

مشاوره در NVD را بخوانید:

جزئیات CVE-2024-5943

تصویر ویژه توسط Shutterstock/Dean Drobot

Source link