美国国家漏洞数据库(NVD)宣布,Thirsty Affiliate Link Manager WordPress 插件有两个漏洞,可以让黑客注入链接。 此外,该插件缺少跨站点请求伪造检查,这可能导致受害者网站的完全入侵。
ThirstyAffiliates 链接管理器插件
ThirstyAffiliates Link Manager WordPress 插件提供了会员链接管理工具。 附属链接不断变化,一旦链接失效,附属链接将不再从该链接中赚钱。
WordPress 会员链接管理插件通过提供一种从 WordPress 管理员面板中的单个区域管理会员链接的方法来解决此问题,通过更改一个链接可以轻松更改整个站点的目标 URL。
该工具允许在编写内容时在内容中添加附属链接。
ThirstyAffiliate Link Manager WordPress 插件漏洞
美国国家漏洞数据库 (NVD) 描述了两个漏洞,允许任何登录用户(包括订阅者级别的用户)创建附属链接,并上传带有链接的图像,这些链接可以将点击链接的用户引导到任何网站.
NVD 描述了 漏洞:
CVE-2022-0398
“3.10.5 之前的 ThirstyAffiliates Affiliate Link Manager WordPress 插件在创建附属链接时没有授权和 CSRF 检查,这可能允许任何经过身份验证的用户(例如订阅者)创建任意附属链接,然后可用于将用户重定向到任意网站。”
CVE-2022-0634
“3.10.5 之前的 ThirstyAffiliates Affiliate Link Manager WordPress 插件在 ta_insert_external_image 操作中缺少授权检查,允许低权限用户(具有低至订阅者的角色)将图像从外部 URL 添加到附属链接。
此外,该插件缺少 csrf 检查,允许攻击者通过制作特殊请求来欺骗登录用户执行操作。”
跨站请求伪造
跨站点请求伪造攻击是一种导致登录用户通过站点访问者正在使用的浏览器在网站上执行任意命令的攻击。
在缺少 CSRF 检查的网站中,网站无法区分显示登录用户的 cookie 凭据的浏览器和伪造的经过身份验证的请求(经过身份验证的意思是登录)之间的区别。
如果登录用户具有管理员级别的访问权限,那么攻击可能导致整个网站被接管,因为整个网站都受到了威胁。
Open Web Application Security Project® (OWASP) 是一个拥有数万成员的非营利组织,是提高软件安全性的资源,它提供了 CSRF 的定义,指出如果攻击是针对具有管理权限的用户发起的,那么整个 Web 应用程序都可能受到损害。
“跨站请求伪造 (CSRF) 是一种攻击,它迫使最终用户在当前经过身份验证的 Web 应用程序上执行不需要的操作。 借助社会工程学的一点帮助(例如通过电子邮件或聊天发送链接),攻击者可能会诱骗 Web 应用程序的用户执行攻击者选择的操作。
…如果受害者是管理帐户,CSRF 可能会危及整个 Web 应用程序。“
OWASP 进一步说明了如何通过 CSRF 攻击破坏管理员级别的帐户:
“对于大多数站点,浏览器请求会自动包含与站点相关的任何凭据,例如用户的会话 cookie、IP 地址、Windows 域凭据等。 因此,如果用户当前通过了网站的身份验证,网站将无法区分受害者发送的伪造请求和受害者发送的合法请求。”
建议更新 ThirstyAffiliates 链接管理器插件
ThirstyAffiliates 插件已针对这两个漏洞发布了补丁。 更新到最安全的插件版本 3.10.5 可能是谨慎的做法。
