آسیب پذیری وردپرس در کدهای کوتاه بر ۷۰۰۰۰۰ سایت تاثیر می گذارد

پایگاه ملی آسیب‌پذیری دولت ایالات متحده (NVD) توصیه‌ای درباره افزونه Shortcodes Ultimate WordPress منتشر کرد و هشدار داد که حاوی یک آسیب‌پذیری جعل درخواست متقابل سایت است.

Shortcodes Ultimate یک افزونه بسیار محبوب وردپرس است که بیش از ۷۰۰۰۰۰ نصب فعال دارد.

این آسیب‌پذیری بر نسخه‌های افزونه قدیمی‌تر از نسخه فعلی ۵.۱۲.۲ تأثیر می‌گذارد.

آسیب پذیری جعل درخواست بین سایت

جعل درخواست متقابل سایت، که معمولاً به عنوان CSRF شناخته می‌شود، نوعی آسیب‌پذیری است که در بدترین موارد می‌تواند منجر به تصرف کامل وب‌سایت شود.

این نوع آسیب‌پذیری‌ها عموماً با هدف قرار دادن یک نقص در نرم‌افزار ایجاد می‌شوند که می‌تواند باعث تغییر شود، که می‌تواند منجر به عواقب ناخواسته شود.

یک حمله موفقیت آمیز عموماً به کاربری بستگی دارد، به عنوان مثال دارای امتیازات مدیریتی، کلیک کردن بر روی پیوند و افشای ناخواسته اطلاعاتی مانند کوکی جلسه که می تواند برای جعل هویت آن شخص مورد استفاده قرار گیرد.

این نوع آسیب‌پذیری به مهندسی اجتماعی بستگی دارد، که کاربر نهایی را برای انجام یک عمل دستکاری می‌کند و سپس از آسیب‌پذیری افزونه استفاده می‌کند.

طبق پروژه امنیتی برنامه وب باز (OWASP) :

“CSRF حمله ای است که قربانی را فریب می دهد تا یک درخواست مخرب ارسال کند.

هویت و امتیازات قربانی برای انجام یک عملکرد نامطلوب از طرف قربانی به ارث می رسد…

برای اکثر سایت‌ها، درخواست‌های مرورگر به طور خودکار شامل هر گونه اعتبار مرتبط با سایت، مانند کوکی جلسه کاربر، آدرس IP، اعتبار دامنه ویندوز و غیره می‌شود.

بنابراین، اگر کاربر در حال حاضر در سایت احراز هویت شده باشد، سایت هیچ راهی برای تمایز بین درخواست جعلی ارسال شده توسط قربانی و درخواست قانونی ارسال شده توسط قربانی نخواهد داشت.”