https://thehackernews.com/2022/01/high-severity-vulnerability-in-3.html
研究者は、84,000を超えるWebサイトに影響を及ぼし、悪意のある攻撃者によって悪用されて脆弱なサイトを乗っ取る可能性のある3つの異なるWordPressプラグインに影響を与えるセキュリティ上の欠点を明らかにしました。
「この欠陥により、攻撃者は脆弱なサイトの任意のサイトオプションを更新できるようになりました。ただし、サイトの管理者をだましてリンクをクリックするなどのアクションを実行させる可能性があります」と、WordPressのセキュリティ会社であるWordfenceは先週公開されたレポートで述べています。
クロスサイトリクエストフォージェリは、ワンクリック攻撃またはセッションライディングとも呼ばれ、認証されたエンドユーザーが攻撃者にだまされて特別に細工されたWebリクエストを送信するときに発生します。
Login / Signup Popupは20,000以上のサイトにインストールされており、Side CartWoocommerceとWaitlistWoocommerceはそれぞれ4,000以上と60,000以上のサイトにインストールされています。
攻撃者が4つのプラグインと15のEpsilonFrameworkテーマの弱点を悪用して、16,000のIPアドレスから発生する大規模な攻撃キャンペーンの一環として160万のWordPressサイトを標的にした後、調査結果は1か月強になります。
「このクロスサイトリクエストフォージェリ(CSRF)の脆弱性は、管理者の操作が必要であるため、悪用される可能性は低くなりますが、悪用に成功したサイトに重大な影響を与える可能性があるため、非常に重要です。リンクや添付ファイルをクリックするときは常に注意を払い、プラグインとテーマを定期的に最新の状態に保つようにしてください」とWordfenceのChloeChamberland氏は述べています。
影響を受ける3つのWordPressプラグインの重大度の高い脆弱性84,000のWebサイト、noreply @ blogger.com(Ravie Lakshmanan)
security summary
コメント