CSRF Luka we wtyczce Code Snippets do WordPress

W popularnej wtyczce WordPress o nazwie Code Snippets istnieje luka w zabezpieczeniach Cross-Site Request Forgery (CSRF), która została oznaczona jako CVE-2020–8417, przez co ponad 200 000 witryn jest podatnych na przejęcie witryny.
Co to za wtyczka?
Wtyczka o nazwie Code Snippets pozwala użytkownikom dodawać fragmenty kodu PHP w celu rozszerzenia funkcjonalności witryny opartej na WordPress, bez dodawania niestandardowych fragmentów do pliku functions.php ich motywu.
Kogo dotyczy?
Wtyczka Code Snippets wcześniejsza niż 2.14.0 dla WordPress zezwala na CSRF z powodu braku sprawdzania referencji w menu importu.
Fragmenty kodu oferuje menu importu do importowania kodu na stronę internetową. Jednak z powodu niewystarczającej weryfikacji nagłówka odsyłacza HTTP w menu importu funkcja importu wtyczki nie miała ochrony CSRF.
Masz 2 dni!
Dokument PoC – (ang. Proof of Concept) – zostanie opublikowany 12 lutego 2020, a co za tym idzie luka trafi do szerokiej wiadomości. Warto przed tą datą zaktualizować wtyczkę.
Jak zapobiec włamaniu?
Zaktualizować wtyczkę. Zaktualizuj wtyczkę do najnowszej wersji – v2.14.0.
Informacja o luce, ujawniona na blogu WPSEC Zobacz
Ochrona przed złym kodem na stronie
Ochrona przed malware i atakami!
Wykorzystujemy ochronę bazującej na wykorzystaniu technologii stada, wspomaganą przez algorytmy sztucznej inteligencji (AI), które ustrzeże Twój serwer przed najnowszymi atakami, również atakami 0-Day!
Na Hostingu WWW w HitMe.pl analizujemy to, co skrypty robią, a nie to, co faktycznie znajduje się w kodzie.