Categories
Noticias

WordPress Redux Plugin La vulnerabilidad afecta a +1 millones de sitios

RedUX, un complemento popular de WordPress con más de 1 millón de instalaciones activas recientemente parchó una vulnerabilidad. La vulnerabilidad permitió a un atacante omitir las medidas de seguridad en un ataque de falsificación de la falla de solicitud (CSRF).

Falsificación de solicitud de la pantalla cruzada

Un ataque de falsificación de la falsificación (CSRF) es una Método donde un atacante explota una vulnerabilidad en el código que les permite realizar acciones en un sitio web. Este tipo de ataque explota las credenciales de un usuario autenticado.

El Departamento de Comercio de los Estados Unidos define a CSRF como este:

“Un tipo de explotación web donde Una parte no autorizada hace que los comandos transmitan los comandos de un usuario de confianza de un sitio web sin el conocimiento de ese usuario “.

Este ataque en particular se desvió de seguridadLos cheques explotan un error de codificación que hizo que un sitio validara incorrectamente los tokens de seguridad llamados sinces. Se supone que las noncias protegen las formas y las URL de los ataques.

AnuncioContinue Lectura a continuación La página de desarrolladores de WordPress describe las noces :

“WordPress Las NOTION son fichas de seguridad únicas generadas por WordPress para ayudar a proteger las URL y los formularios del mal uso.

Si su tema permite a los usuarios enviar datos; ya sea en el administrador o en el front-end; No se pueden usar las noces para verificar que un usuario pretende realizar una acción, y es instrumental en la protección contra la falsificación de la solicitud de sitio cruzado (CSRF).

El hash de uso único generado por un no medida, evita este tipo de Los ataques forjados de tener éxito al validar la solicitud de carga se realiza por the Corriente registrado en el usuario. Las NOCION son únicas solo para la sesión del usuario actual, por lo que si se realiza un intento de iniciar o salir, cualquier no necesidad en la página se vuelve inválida “.

AnunciCementContinue leyendo a continuación La falla estaba en la forma en que se estaban validado. Esta vulnerabilidad se solucionó originalmente en octubre de 2020, pero se reintroduce en una actualización posterior.

De acuerdo con el sitio de complemento de seguridad WPSCAN

:

“El plugin no hizo Validan adecuadamente algunas personas que no hay, solo revisándolas si se estableció su valor. Como resultado, los ataques de CSRF aún podrían realizarse al no presentar la NONSE en la solicitud, pasando por alto la protección que se supone que deben proporcionar “

WPSCAN y el complemento de WordPress Redux informaron que la vulnerabilidad CSRF ha sido arreglado.

WPSCAN describió la emisión actual

:

“El plugin volvió a introducir un problema de bypass de CSRF en V4.1.22, ya que el noCE solo se verifica si está presente en la solicitud”

EloG de REDUX complemento afirma:

Screenshot of Redux WordPress Plugin Changelog

Screenshot of Redux WordPress Plugin Changelog “Fija: Problema de seguridad CSRF con un estado de seguridad.”

Actualizar Redux Gutenberg Bloques Biblioteca y marco REDUX es un complemento que permite a los editores explorar y elegir entre miles de bloques y plantillas de Gutenberg. Los bloques son secciones de una página web y las plantillas son diseños completos de la página web. Con más de un millón de usuarios activos, REDUX, el complemento es uno de los complementos de WordPress más utilizados. Es altamente recomendable que Editores que utilizan el complemento REDUX WordPress inmediatamente UpdATE de la última versión, 4.1.24 .

Leave a Reply

Your email address will not be published. Required fields are marked *