WordPress BestWebSoft Htaccess CSRF sérülékenység

WordPress BestWebSoft Htaccess CSRF sérülékenység
Angol cím: WordPress BestWebSoft Htaccess CSRF vulnerability

CH azonosító: CH-14780
Publikálás dátuma: 2020.02.06.
Utolsó módosítás dátuma: 2020.02.06.


Leírás

A CVE-2020-8658 számon a WordPress tartalomkezelő rendszer BestWebSoft Htaccess pluginjának közepes kockázati besorolású sérülékenysége vált ismertté, amelyet kihasználva a támadó CSRF típusú támadást hajthat végre az érintett rendszer ellen.

Leírás forrása: Egyéb referencia: www.cybersecurity-help.cz Leírás utolsó módosítása: 2020.02.06.


Elemzés leírás

A WordPress nyílt forráskódú, PHP-alapú tartalomkezelő és blog-rendszer, ami a MySQL adatbáziskezelőt használja adattárolásra. A WordPress beépített pluginja a BestWebSoft Htaccess, amely segítségével a felhasználó  gépnév, IP-cím, IP-tartomány alapján engedélyezheti vagy tagadhatja meg a hozzáférést a weboldalához. A hiba a htccss_nonce_name jelöléshez köthető, a wp-admin/admin.php?page=htaccess.php&action=htaccess_editor-tól eredő HTTP kérések nem megfelelő érvényesítése miatt.

A sérülékenység kihasználásához a támadónak egy speciálisan kialakított weboldalt kell létrehoznia. Amennyiben a célba vett felhasználó azt megnyitja, úgy módosításra került a .htaccess file, így a támadó az áldozat nevében hajthat végre tetszőleges változtatásokat az érintett webhelyen.

A gyártó még nem tett közzé a hiba javítását célzó frissítést.

Érintett verziók:

  • WordPress BestWebSoft Htaccess 1.8.1 előtti verziók

Elemzés leírás forrása: Egyéb referencia: www.cybersecurity-help.cz Elemzés leírás utolsó módosítása: 2020.02.06.


Hatás


Hivatkozások

Egyéb referencia: www.cybersecurity-help.cz
Egyéb referencia: cve.mitre.org
Egyéb referencia: wpvulndb.com
CVE-2020-8658 - NVD CVE-2020-8658


Legfrissebb sérülékenységek
CVE-2023-4863 – Google Chrome sérülékenysége
CVE-2023-40186 – FreeRDP sérülékenysége
CVE-2023-20890 – VMware Aria Operations For Networks sérülékenysége
CVE-2023-34039 – VMware Aria Operations for Networks sérülékenysége
CVE-2023-23770 – Motorola MBTS Site Controller sérülékenysége
CVE-2023-38388 – JupiterX Core Premium WordPress Plugin sérülékenysége
CVE-2023-38831 – RARLabs WinRAR sérülékenysége
CVE-2023-38035 – Ivanti Sentry sérülékenysége
CVE-2023-20212 – ClamAV sérülékenysége
CVE-2023-36847 – Juniper Networks Junos OS sérülékenysége
Tovább a sérülékenységekhez »