WordPress BestWebSoft Htaccess CSRF sérülékenység

CH azonosító: CH-14780
Cím: WordPress BestWebSoft Htaccess CSRF sérülékenység
Angol cím: WordPress BestWebSoft Htaccess CSRF vulnerability

Publikálás dátuma: 2020.02.06.
Utolsó módosítás dátuma: 2020.02.06.


Leírás

A CVE-2020-8658 számon a WordPress tartalomkezelő rendszer BestWebSoft Htaccess pluginjának közepes kockázati besorolású sérülékenysége vált ismertté, amelyet kihasználva a támadó CSRF típusú támadást hajthat végre az érintett rendszer ellen.


Leírás forrása: Egyéb referencia: www.cybersecurity-help.cz
Leírás utolsó módosítása: 2020.02.06.


Elemzés leírás

A WordPress nyílt forráskódú, PHP-alapú tartalomkezelő és blog-rendszer, ami a MySQL adatbáziskezelőt használja adattárolásra. A WordPress beépített pluginja a BestWebSoft Htaccess, amely segítségével a felhasználó  gépnév, IP-cím, IP-tartomány alapján engedélyezheti vagy tagadhatja meg a hozzáférést a weboldalához. A hiba a htccss_nonce_name jelöléshez köthető, a wp-admin/admin.php?page=htaccess.php&action=htaccess_editor-tól eredő HTTP kérések nem megfelelő érvényesítése miatt.

A sérülékenység kihasználásához a támadónak egy speciálisan kialakított weboldalt kell létrehoznia. Amennyiben a célba vett felhasználó azt megnyitja, úgy módosításra került a .htaccess file, így a támadó az áldozat nevében hajthat végre tetszőleges változtatásokat az érintett webhelyen.

A gyártó még nem tett közzé a hiba javítását célzó frissítést.

Érintett verziók:

  • WordPress BestWebSoft Htaccess 1.8.1 előtti verziók


Elemzés leírás forrása: Egyéb referencia: www.cybersecurity-help.cz
Elemzés leírás utolsó módosítása: 2020.02.06.


Hatás

CVSS3 Súlyosság és Metrika

Alap pontszám: (Nincs)
Vektor:
Hatás pontszáma:
Kihasználhatóság pontszáma:


CVSS2 Súlyosság és Metrika

Alap pontszám: (Nincs)
Vektor:
Hatás alpontszáma:
Kihasználhatóság alpontszáma:




Hivatkozások

Egyéb referencia: www.cybersecurity-help.cz
Egyéb referencia: cve.mitre.org
Egyéb referencia: wpvulndb.com
CVE-2020-8658 - NVD CVE-2020-8658