CSRF Luka we wtyczce Code Snippets do WordPress

10 lutego, 2020 12:12


img

W popularnej wtyczce WordPress o nazwie Code Snippets istnieje luka w zabezpieczeniach Cross-Site Request Forgery (CSRF), która została oznaczona jako CVE-2020–8417, przez co ponad 200 000 witryn jest podatnych na przejęcie witryny.

Co to za wtyczka?

Wtyczka o nazwie Code Snippets pozwala użytkownikom dodawać fragmenty kodu PHP w celu rozszerzenia funkcjonalności witryny opartej na WordPress, bez dodawania niestandardowych fragmentów do pliku functions.php ich motywu.

Kogo dotyczy?

Wtyczka Code Snippets wcześniejsza niż 2.14.0 dla WordPress zezwala na CSRF z powodu braku sprawdzania referencji w menu importu.

Fragmenty kodu oferuje menu importu do importowania kodu na stronę internetową. Jednak z powodu niewystarczającej weryfikacji nagłówka odsyłacza HTTP w menu importu funkcja importu wtyczki nie miała ochrony CSRF.

 

Masz 2 dni!

Dokument PoC – (ang. Proof of Concept) – zostanie opublikowany 12 lutego 2020, a co za tym idzie luka trafi do szerokiej wiadomości. Warto przed tą datą zaktualizować wtyczkę.

 

Jak zapobiec włamaniu?

Zaktualizować wtyczkę. Zaktualizuj wtyczkę do najnowszej wersji – v2.14.0.

 

Informacja o luce, ujawniona na blogu WPSEC Zobacz

 

Ochrona przed złym kodem na stronie

Ochrona przed malware i atakami!

Wykorzystujemy ochronę bazującej na wykorzystaniu technologii stada, wspomaganą przez algorytmy sztucznej inteligencji (AI), które ustrzeże Twój serwer przed najnowszymi atakami, również atakami 0-Day!

Na Hostingu WWW w HitMe.pl analizujemy to, co skrypty robią, a nie to, co faktycznie znajduje się w kodzie.

Sprawdź nasz Hosting WWW!

O zabezpieczeniach… | Hosting WWW w HitMe

366 wyświetleń

Podziel się lub polub!

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

2 × one =