美国政府国家漏洞数据库 (NVD) 发布了关于 Shortcodes Ultimate WordPress 插件的公告,警告说它被发现包含跨站点请求伪造漏洞。
Shortcodes Ultimate 是一个非常受欢迎的 WordPress 插件,拥有超过 700,000 个活动安装。
该漏洞影响早于当前版本 5.12.2 的插件版本。
跨站点请求伪造,通常称为 CSRF,是一种漏洞,在最坏的情况下会导致整个网站被接管。
这些类型的漏洞通常是由针对软件中可能触发更改的缺陷引起的,这可能会导致意想不到的后果。
成功的攻击通常取决于用户,例如具有管理权限、单击链接以及无意泄露会话 cookie 等信息,这些信息随后可用于冒充该人。
这种漏洞依赖于社会工程学,它操纵最终用户完成一个操作,然后利用插件漏洞。
根据开放 Web 应用程序安全项目(OWASP):
“CSRF 是一种欺骗受害者提交恶意请求的攻击。它继承受害者的身份和特权,代表受害者执行不受欢迎的功能……对于大多数站点,浏览器请求会自动包含与站点关联的任何凭据,例如用户的会话 cookie、IP 地址、Windows 域凭据等。因此,如果用户当前通过了网站的身份验证,网站将无法区分受害者发送的伪造请求和受害者发送的合法请求。”