آسیب پذیری های پلاگین وردپرس ThirstyAffiliates

دو آسیب‌پذیری کشف شده در افزونه ThirstyAffiliates Affiliate Link Manager وردپرس می‌تواند منجر به تصاحب کامل سایت و درج لینک‌های دلخواه شود.
پایگاه داده ملی آسیب پذیری ایالات متحده (NVD) اعلام کرد که افزونه Thirsty Affiliate Link Manager WordPress دارای دو آسیب پذیری است که به هکر اجازه می دهد لینک ها را تزریق کند. علاوه بر این، این افزونه فاقد بررسی جعل درخواست بین سایتی است که می تواند منجر به به خطر افتادن کامل وب سایت قربانی شود.
افزونه ThirstyAffiliates Link Manager وردپرس ابزارهای مدیریت لینک های وابسته را ارائه می دهد. پیوندهای وابسته دائماً در حال تغییر هستند و به محض اینکه یک پیوند قدیمی شد، شرکت وابسته دیگر از آن پیوند درآمدی کسب نخواهد کرد.
افزونه مدیریت لینک های وابسته وردپرس این مشکل را با ارائه راهی برای مدیریت لینک های وابسته از یک منطقه در پنل مدیریت وردپرس حل می کند، که تغییر آدرس های مقصد در کل سایت را با تغییر یک لینک آسان می کند.
این ابزار راهی را برای افزودن پیوندهای وابسته به محتوا در حین نوشتن محتوا اجازه می دهد.
پایگاه داده آسیب‌پذیری ملی ایالات متحده (NVD) دو آسیب‌پذیری را تشریح کرد که به هر کاربر وارد شده، از جمله کاربران در سطح مشترک، اجازه می‌دهد پیوندهای وابسته ایجاد کند و همچنین تصاویری را با پیوندهایی آپلود کند که می‌تواند کاربرانی را که روی پیوندها کلیک می‌کنند به هر وب‌سایتی هدایت کند. .
CVE-2022-0398
افزونه ThirstyAffiliates Affiliate Link Manager WordPress قبل از 3.10.5 دارای مجوز و بررسی CSRF در هنگام ایجاد پیوندهای وابسته نیست، که می تواند به هر کاربر احراز هویت شده، مانند مشترک اجازه ایجاد پیوندهای وابسته دلخواه را بدهد، که سپس می تواند برای هدایت کاربران به یک وب سایت دلخواه.»
CVE-2022-0634
افزونه ThirstyAffiliates Affiliate Link Manager WordPress قبل از 3.10.5 فاقد بررسی مجوز در عمل ta_insert_external_image است و به یک کاربر با امتیاز پایین (با نقشی به اندازه مشترک) اجازه می دهد تصویری را از یک URL خارجی به یک پیوند وابسته اضافه کند.
علاوه بر این، این افزونه فاقد چک‌های csrf است و به مهاجم اجازه می‌دهد تا کاربر وارد شده را فریب دهد تا با ایجاد یک درخواست خاص، اقدام را انجام دهد.
حمله جعل درخواست Cross-Site حمله ای است که باعث می شود یک کاربر وارد شده یک فرمان دلخواه را در یک وب سایت از طریق مرورگری که بازدید کننده سایت استفاده می کند، اجرا کند.
در وب‌سایتی که فاقد چک‌های CSRF است، وب‌سایت نمی‌تواند تفاوت بین مرورگری را که اعتبار کوکی یک کاربر وارد شده را نشان می‌دهد و درخواست احراز هویت جعلی تشخیص دهد (تأیید شده به معنای ورود به سیستم است).
اگر کاربر وارد شده دسترسی در سطح سرپرست داشته باشد، حمله می تواند منجر به تصرف کامل سایت شود زیرا کل وب سایت در معرض خطر است.
افزونه ThirstyAffiliates یک پچ برای این دو آسیب‌پذیری منتشر کرده است. ممکن است عاقلانه باشد که به امن ترین نسخه افزونه، 3.10.5، به روز رسانی شود.
CVE-2022-0634 جزئیات
CVE-2022-0398 جزئیات
ThirstyAffiliates Affiliate Link Manager < 3.10.5 – Subscriber + ایجاد لینک های وابسته دلخواه
ThirstyAffiliates < 3.10.5 – اشتراک + آپلود غیرمجاز تصویر + CSRF
خبرنامه روزانه ما را از لورن بیکر بنیانگذار SEJ در مورد آخرین اخبار در صنعت دریافت کنید!
راجر مونتی یک بازاریاب جستجو با بیش از 20 سال تجربه است. ارائه ممیزی سایت، مشاوره تلفنی و محتوا و … [بیو کامل را بخوانید]
برای دریافت آخرین اخبار صنعت در خبرنامه روزانه ما مشترک شوید.
برای دریافت آخرین اخبار صنعت در خبرنامه روزانه ما مشترک شوید.

source
سئو سایت

About mohtavaclick

Check Also

Metaverse Primer برای بازاریابان: چگونه به اینجا رسیدیم و بعد به کجا رسیدیم

در همگرایی VR، AR، و ارز دیجیتال Metaverse قرار دارد. برندها مورد توجه هستند، زیرا …

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.

قالب وردپرس وردپرس متخصص وردپرس متخصص ووکامرس افزونه وردپرس کابین وردپرس