افزونه WP Statistics وردپرس آسیبپذیری CSRF را اصلاح میکند
آسیب پذیری CSRF در افزونه وردپرس با بیش از 600000 نصب فعال مشکل ساز شده است. پایگاه داده آسیبپذیری ملی دولت ایالات متحده (NVD) توصیهای درباره آسیبپذیری کشف شده در افزونه WP Statistics WordPress منتشر کرد که بر 600000 نصب فعال تأثیر میگذارد.
به این آسیبپذیری، نمره سطح تهدید متوسط 6.5 از مقیاس 1 تا 10 داده شد که سطح 10 نشاندهنده شدیدترین سطح آسیبپذیری است.
جعل درخواست بین سایتی افزونه WP Statistics
افزونه WP Statistics حاوی یک آسیبپذیری Cross-Site Request Forgery است که به مهاجم اجازه میدهد با فعال کردن یا غیرفعال کردن افزونهها، یک وبسایت را در معرض خطر قرار دهد.
جعل درخواست بین سایتی حمله ای است که به یک کاربر ثبت شده وب سایت (مانند یک مدیر) نیاز دارد تا عملی مانند کلیک کردن روی یک پیوند را انجام دهد، که سپس به مهاجم اجازه میدهد از شکاف امنیتی استفاده کند.
وردپرس nonce یک نشانه امنیتی است که به کاربر ثبت شده ارائه میشود و به کاربر اجازه میدهد تا به طور ایمن اقداماتی را انجام دهد که فقط یک کاربر ثبتشده میتواند انجام دهد. صفحات توسعهدهنده وردپرس این موضوع را با مثالی از حذف یک پست توسط مدیر توضیح میدهد.
چیزی که اتفاق میافتد این است که nonce یا گم شده است یا به درستی در افزونه WP Statistics تأیید نشده است و این یک شکاف امنیتی برای یک هکر مخرب ایجاد میکند تا از آن سوء استفاده کند.
آسیب پذیری افزونه WP Statistics بر نسخه تا 13.1.1 تأثیر می گذارد. با این حال، اصلاحات امنیتی متعددی اضافه شده است، از جمله در نسخه 13.2.11. نسخه فعلی این افزونه 14.0.1 است. در حال حاضر تنها 29.3 درصد از کاربران از به روزترین نسخه استفاده میکنند.