ThirstyAffiliates Affiliate Link Manager WordPress 插件中发现的两个漏洞可导致整个站点被黑客接管和插入任意链接。根据WordPress官网显示,该插件目前有超过4万个站点正在使用。
日前,美国国家漏洞数据库(NVD)宣布,Thirsty Affiliate Link Manager WordPress 插件有两个漏洞,可以让黑客注入链接。此外,该插件缺少跨站点请求伪造检查,这可能导致受害者网站的完全入侵。
“3.10.5 之前的 ThirstyAffiliates Affiliate Link Manager WordPress 插件在创建附属链接时没有授权和 CSRF 检查,这可能允许任何经过身份验证的用户(例如订阅者)创建任意附属链接,然后可用于将用户重定向到任意网站。”
CVE-2022-0398
“3.10.5 之前的 ThirstyAffiliates Affiliate Link Manager WordPress 插件在 ta_insert_external_image 操作中缺少授权检查,允许低权限用户(具有低至订阅者的角色)将图像从外部 URL 添加到附属链接。
此外,该插件缺少 csrf 检查,允许攻击者通过制作特殊请求来欺骗登录用户执行操作。”
CVE-2022-0634
ThirstyAffiliates的主要用途是:为博主提供了通过 WordPress 网站联盟营销获利所需的工具。
官网链接:https://wordpress.org/plugins/thirstyaffiliates/
建议更新 Thirsty Affiliate Link Manager WordPress 插件
Thirsty Affiliate Link Manager WordPress 插件已针对这两个漏洞发布了补丁(最新版本3.10.5)。但暂未确定是否就以上两个漏洞进行了完全修复。
