据报道,超过 700,000 个 WordPress 网站使用的一款短代码功能插件 Ultimate Shortcodes 包含 CSRF 漏洞,大约有 700,000 个站点面临该漏洞带来的安全风险。
Shortcodes Ultimate 是一个非常受欢迎的 WordPress 插件,超过 700,000 个活动安装。
美国政府国家漏洞数据库 (NVD) 发布了关于 Shortcodes Ultimate WordPress 插件的公告,警告说它被发现包含跨站点请求伪造漏洞。
根据官方的更新日志来看,其最新版本5.12.2可能已经修复了该漏洞(但未经权威测试)。
5.12.2
- Fixed issue with Shortcode Generator Presets, introduced in the previous update
- Tested compatibility with WordPress 6
跨站请求伪造漏洞
跨站点请求伪造,通常称为 CSRF,是一种漏洞,在最坏的情况下会导致整个网站被接管。
这些类型的漏洞通常是由针对软件中可能触发更改的缺陷引起的,这可能会导致意想不到的后果。
成功的攻击通常取决于用户,例如具有管理权限、单击链接以及无意泄露会话 cookie 等信息,这些信息随后可用于冒充该人。
这种漏洞操纵终端用户完成一个动作,然后利用插件漏洞。
根据OWASP的介绍:
“CSRF 是一种欺骗受害者提交恶意请求的攻击。
它继承受害者的身份和特权,代表受害者执行不受欢迎的功能……
对于大多数站点,浏览器请求会自动包含与站点关联的任何凭据,例如用户的会话 cookie、IP 地址、Windows 域凭据等。
因此,如果用户当前通过了网站的身份验证,网站将无法区分受害者发送的伪造请求和受害者发送的合法请求。”
https://owasp.org/
