短代码中的 WordPress 漏洞影响美国 700,000 个站点

美国政府国家漏洞数据库 (NVD) 发布了关于 Shortcodes Ultimate WordPress 插件的公告，警告说它被发现包含跨站点请求伪造漏洞。

Shortcodes Ultimate 是一个非常受欢迎的 WordPress 插件，拥有超过 700,000 个活动安装。

该漏洞影响早于当前版本 5.12.2 的插件版本。

跨站请求伪造漏洞

跨站点请求伪造，通常称为 CSRF，是一种漏洞，在最坏的情况下会导致整个网站被接管。

这些类型的漏洞通常是由针对软件中可能触发更改的缺陷引起的，这可能会导致意想不到的后果。

成功的攻击通常取决于用户，例如具有管理权限、单击链接以及无意泄露会话 cookie 等信息，这些信息随后可用于冒充该人。

这种漏洞依赖于社会工程学，它操纵最终用户完成一个操作，然后利用插件漏洞。

根据开放 Web 应用程序安全项目(OWASP)：

“CSRF 是一种欺骗受害者提交恶意请求的攻击。它继承受害者的身份和特权，代表受害者执行不受欢迎的功能……对于大多数站点，浏览器请求会自动包含与站点关联的任何凭据，例如用户的会话 cookie、IP 地址、Windows 域凭据等。因此，如果用户当前通过了网站的身份验证，网站将无法区分受害者发送的伪造请求和受害者发送的合法请求。”