首页 > 跨境头条 > 短代码中的 WordPress 漏洞影响美国 700,000 个站点

短代码中的 WordPress 漏洞影响美国 700,000 个站点

更新时间:2022-10-13 16:44:44

跨境头条 | 作者:SEJ
浏览量:361

Canva-Software-security-concept.-Errors-in-the-program.-Bugs-in-the-program.-The-presence-of-a-backdoor-rootkit.-2-1024x536.jpg

美国政府国家漏洞数据库 (NVD) 发布了关于 Shortcodes Ultimate WordPress 插件的公告,警告说它被发现包含跨站点请求伪造漏洞。

Shortcodes Ultimate 是一个非常受欢迎的 WordPress 插件,拥有超过 700,000 个活动安装。

该漏洞影响早于当前版本 5.12.2 的插件版本。

跨站请求伪造漏洞

跨站点请求伪造,通常称为 CSRF,是一种漏洞,在最坏的情况下会导致整个网站被接管。

这些类型的漏洞通常是由针对软件中可能触发更改的缺陷引起的,这可能会导致意想不到的后果。

成功的攻击通常取决于用户,例如具有管理权限、单击链接以及无意泄露会话 cookie 等信息,这些信息随后可用于冒充该人。

这种漏洞依赖于社会工程学,它操纵最终用户完成一个操作,然后利用插件漏洞。

根据开放 Web 应用程序安全项目(OWASP):

“CSRF 是一种欺骗受害者提交恶意请求的攻击。它继承受害者的身份和特权,代表受害者执行不受欢迎的功能……对于大多数站点,浏览器请求会自动包含与站点关联的任何凭据,例如用户的会话 cookie、IP 地址、Windows 域凭据等。因此,如果用户当前通过了网站的身份验证,网站将无法区分受害者发送的伪造请求和受害者发送的合法请求。”
暂无评论