افزونه WP Statistics وردپرس آسیب‌پذیری CSRF را اصلاح می‌کند

آسیب پذیری CSRF در افزونه وردپرس با بیش از 600000 نصب فعال مشکل ساز شده است. پایگاه داده آسیب‌پذیری ملی دولت ایالات متحده (NVD) توصیه‌ای درباره آسیب‌پذیری کشف شده در افزونه WP Statistics WordPress منتشر کرد که بر 600000 نصب فعال تأثیر می‌گذارد.

به این آسیب‌پذیری، نمره سطح تهدید متوسط 6.5 از مقیاس 1 تا 10 داده شد که سطح 10 نشان‌دهنده شدیدترین سطح آسیب‌پذیری است.

جعل درخواست بین سایتی افزونه WP Statistics

افزونه WP Statistics حاوی یک آسیب‌پذیری Cross-Site Request Forgery است که به مهاجم اجازه می‌دهد با فعال کردن یا غیرفعال کردن افزونه‌ها، یک وب‌سایت را در معرض خطر قرار دهد.

جعل درخواست بین سایتی حمله ای است که به یک کاربر ثبت شده وب سایت (مانند یک مدیر) نیاز دارد تا عملی مانند کلیک کردن روی یک پیوند را انجام دهد، که سپس به مهاجم اجازه می‌دهد از شکاف امنیتی استفاده کند.

وردپرس nonce یک نشانه امنیتی است که به کاربر ثبت شده ارائه می‌شود و به کاربر اجازه می‌دهد تا به طور ایمن اقداماتی را انجام دهد که فقط یک کاربر ثبت‌شده می‌تواند انجام دهد. صفحات توسعه‌دهنده وردپرس این موضوع را با مثالی از حذف یک پست توسط مدیر توضیح می‌دهد.

چیزی که اتفاق می‌افتد این است که nonce یا گم شده است یا به درستی در افزونه WP Statistics تأیید نشده است و این یک شکاف امنیتی برای یک هکر مخرب ایجاد می‌کند تا از آن سوء استفاده کند.

آسیب پذیری افزونه WP Statistics بر نسخه تا 13.1.1 تأثیر می گذارد. با این حال، اصلاحات امنیتی متعددی اضافه شده است، از جمله در نسخه 13.2.11. نسخه فعلی این افزونه 14.0.1 است. در حال حاضر تنها 29.3 درصد از کاربران از به روزترین نسخه استفاده می‌کنند.