WordPress BestWebSoft Htaccess CSRF sérülékenység

WordPress BestWebSoft Htaccess CSRF sérülékenység
Angol cím: WordPress BestWebSoft Htaccess CSRF vulnerability

CH azonosító: CH-14780
Publikálás dátuma: 2020.02.06.
Utolsó módosítás dátuma: 2020.02.06.


Leírás

A CVE-2020-8658 számon a WordPress tartalomkezelő rendszer BestWebSoft Htaccess pluginjának közepes kockázati besorolású sérülékenysége vált ismertté, amelyet kihasználva a támadó CSRF típusú támadást hajthat végre az érintett rendszer ellen.

Leírás forrása: Egyéb referencia: www.cybersecurity-help.cz Leírás utolsó módosítása: 2020.02.06.


Elemzés leírás

A WordPress nyílt forráskódú, PHP-alapú tartalomkezelő és blog-rendszer, ami a MySQL adatbáziskezelőt használja adattárolásra. A WordPress beépített pluginja a BestWebSoft Htaccess, amely segítségével a felhasználó  gépnév, IP-cím, IP-tartomány alapján engedélyezheti vagy tagadhatja meg a hozzáférést a weboldalához. A hiba a htccss_nonce_name jelöléshez köthető, a wp-admin/admin.php?page=htaccess.php&action=htaccess_editor-tól eredő HTTP kérések nem megfelelő érvényesítése miatt.

A sérülékenység kihasználásához a támadónak egy speciálisan kialakított weboldalt kell létrehoznia. Amennyiben a célba vett felhasználó azt megnyitja, úgy módosításra került a .htaccess file, így a támadó az áldozat nevében hajthat végre tetszőleges változtatásokat az érintett webhelyen.

A gyártó még nem tett közzé a hiba javítását célzó frissítést.

Érintett verziók:

  • WordPress BestWebSoft Htaccess 1.8.1 előtti verziók

Elemzés leírás forrása: Egyéb referencia: www.cybersecurity-help.cz Elemzés leírás utolsó módosítása: 2020.02.06.


Hatás



Hivatkozások

Egyéb referencia: www.cybersecurity-help.cz
Egyéb referencia: cve.mitre.org
Egyéb referencia: wpvulndb.com
CVE-2020-8658 - NVD CVE-2020-8658


Legfrissebb sérülékenységek
CVE-2023-1289 – ImageMagick sérülékenysége
CVE-2023-1050 – Koc Energy Web Report System sérülékenysége
CVE-2022-22512 – VARTA Storage Web-UI sérülékenysége
CVE-2023-25859 – Adobe Illustrator sérülékenysége
CVE-2023-25860 – Adobe Illustrator sérülékenysége
CVE-2023-25861 – Adobe Illustrator sérülékenysége
CVE-2023-26358 – Adobe Creative Cloud sérülékenysége
CVE-2023-26426 – Adobe Illustrator sérülékenysége
CVE-2023-27855 – Rockwell Automation's ThinManager ThinServer sérülékenysége
CVE-2022-45124 – wellintech / kinghistorian sérülékenysége
Tovább a sérülékenységekhez »