Amerika Birleşik Devletleri Ulusal Güvenlik Açığı Veritabanı (NVD), Thirsty Affiliate Link Manager WordPress eklentisinin bir bilgisayar korsanının bağlantı enjekte etmesine izin verebilecek iki güvenlik açığı olduğunu duyurdu. Ek olarak, eklentinin Siteler Arası İstek Sahteciliği kontrolünden yoksun olması, kurbanın web sitesinin tamamen ele geçirilmesine neden olabilir.
ThirstyAffiliates Bağlantı Yöneticisi Eklentisi
ThirstyAffiliates Link Manager WordPress eklentisi, bağlı kuruluş bağlantı yönetimi araçları sunar. Bağlı kuruluş bağlantıları sürekli değişmektedir ve bir bağlantı eskidiğinde, bağlı kuruluş artık bu bağlantıdan para kazanmayacaktır. WordPress bağlı kuruluş bağlantı yönetimi eklentisi, WordPress yönetici panelindeki tek bir alandan bağlı kuruluş bağlantılarını yönetmenin bir yolunu sağlayarak bu sorunu çözer; bu, bir bağlantıyı değiştirerek tüm sitedeki hedef URL’leri değiştirmeyi kolaylaştırır. Araç, içerik yazılırken içeriğe bağlı kuruluş bağlantıları eklemenin bir yolunu sağlar.
ThirstyAffiliate Link Manager WordPress Eklenti Güvenlik Açıkları
Amerika Birleşik Devletleri Ulusal Güvenlik Açığı Veritabanı (NVD), abone düzeyindeki kullanıcılar da dahil olmak üzere oturum açmış herhangi bir kullanıcının bağlı kuruluş bağlantıları oluşturmasına ve ayrıca bağlantıları tıklayan kullanıcıları herhangi bir web sitesine yönlendirebilecek bağlantılara sahip resimler yüklemesine izin veren iki güvenlik açığı tanımladı. .
NVD, güvenlik açıklarını açıklar:
CVE-2022-0398
“3.10.5’ten önceki ThirstyAffiliates Affiliate Link Manager WordPress eklentisi, bağlı kuruluş bağlantıları oluştururken yetkilendirmeye ve CSRF kontrollerine sahip değildir; bu, abone gibi kimliği doğrulanmış herhangi bir kullanıcının, daha sonra kullanıcıları bir keyfi web sitesi.”
CVE-2022-0634
“3.10.5’ten önceki ThirstyAffiliates Affiliate Link Manager WordPress eklentisi, ta_insert_external_image eyleminde yetkilendirme kontrollerinden yoksundur ve düşük ayrıcalıklı bir kullanıcının (Abone kadar düşük bir role sahip) harici bir URL’den bir satış ortağı bağlantısına bir resim eklemesine izin verir. Ayrıca eklenti csrf kontrollerinden yoksundur, bu da bir saldırganın özel bir istek hazırlayarak eylemi gerçekleştirmesi için oturum açmış bir kullanıcıyı kandırmasına izin verir.”
Siteler Arası İstek Sahteciliği
Siteler Arası İstek Sahteciliği saldırısı, oturum açmış bir kullanıcının site ziyaretçisinin kullandığı tarayıcı aracılığıyla bir web sitesinde rastgele bir komut yürütmesine neden olan saldırıdır. CSRF kontrolleri olmayan bir web sitesinde, web sitesi, oturum açmış bir kullanıcının tanımlama bilgisi bilgilerini görüntüleyen bir tarayıcı ile sahte bir kimliği doğrulanmış istek (kimliği doğrulanmış, oturum açmış anlamına gelir) arasındaki farkı söyleyemez. Oturum açan kullanıcının yönetici düzeyinde erişimi varsa, saldırı, tüm web sitesinin güvenliği ihlal edildiğinden sitenin tamamen ele geçirilmesine neden olabilir.
ThirstyAffiliates bağlantı Yöneticisi Eklentisinin Güncellenmesi Tavsiye Edilir
ThirstyAffiliates eklentisi, iki güvenlik açığı için bir yama yayınladı. Eklentinin en güvenli sürümü olan 3.10.5’e güncelleme yapmak akıllıca olabilir.
