WordPress BestWebSoft Htaccess CSRF sérülékenység
Angol cím: WordPress BestWebSoft Htaccess CSRF vulnerability
CH azonosító: CH-14780
Publikálás dátuma: 2020.02.06.
Utolsó módosítás dátuma: 2020.02.06.
Leírás
A CVE-2020-8658 számon a WordPress tartalomkezelő rendszer BestWebSoft Htaccess pluginjának közepes kockázati besorolású sérülékenysége vált ismertté, amelyet kihasználva a támadó CSRF típusú támadást hajthat végre az érintett rendszer ellen.
Leírás forrása: Egyéb referencia: www.cybersecurity-help.cz Leírás utolsó módosítása: 2020.02.06.Elemzés leírás
A WordPress nyílt forráskódú, PHP-alapú tartalomkezelő és blog-rendszer, ami a MySQL adatbáziskezelőt használja adattárolásra. A WordPress beépített pluginja a BestWebSoft Htaccess, amely segítségével a felhasználó gépnév, IP-cím, IP-tartomány alapján engedélyezheti vagy tagadhatja meg a hozzáférést a weboldalához. A hiba a htccss_nonce_name jelöléshez köthető, a wp-admin/admin.php?page=htaccess.php&action=htaccess_editor-tól eredő HTTP kérések nem megfelelő érvényesítése miatt.
A sérülékenység kihasználásához a támadónak egy speciálisan kialakított weboldalt kell létrehoznia. Amennyiben a célba vett felhasználó azt megnyitja, úgy módosításra került a .htaccess file, így a támadó az áldozat nevében hajthat végre tetszőleges változtatásokat az érintett webhelyen.
A gyártó még nem tett közzé a hiba javítását célzó frissítést.
Érintett verziók:
- WordPress BestWebSoft Htaccess 1.8.1 előtti verziók
Elemzés leírás forrása: Egyéb referencia: www.cybersecurity-help.cz Elemzés leírás utolsó módosítása: 2020.02.06.
Hatás
Hivatkozások
Egyéb referencia: www.cybersecurity-help.cz
Egyéb referencia: cve.mitre.org
Egyéb referencia: wpvulndb.com
CVE-2020-8658 - NVD CVE-2020-8658