Wtyczka WordPress Flash News / Post (Responsive) w wersji do 4.1 włącznie zawiera podatność Cross-Site Request Forgery (CSRF), która pozwala na eskalację uprawnień. Podatność jest krytyczna, ponieważ nie wymaga uwierzytelnienia ani interakcji użytkownika poza jednorazowym odwiedzeniem złośliwej strony.
▸ Pokaż oryginał (EN)
Cross-Site Request Forgery (CSRF) vulnerability in lizeipe Flash News / Post (Responsive) flashnews-fading-effect-pearlbells allows Privilege Escalation.This issue affects Flash News / Post (Responsive): from n/a through <= 4.1.
Podatność CSRF (CWE-352) polega na braku odpowiedniej weryfikacji źródła żądań HTTP kierowanych do wrażliwych funkcji wtyczki. Atakujący może przygotować złośliwą stronę internetową, która w tle wysyła sfałszowane żądanie do panelu WordPress ofiary. Jeśli zalogowany użytkownik (np. administrator) odwiedzi tę stronę, żądanie zostanie wykonane z jego uprawnieniami bez jego wiedzy, co prowadzi do eskalacji uprawnień atakującego.
Atakujący może uzyskać podwyższone uprawnienia w systemie WordPress, potencjalnie przejmując pełną kontrolę nad witryną, w tym możliwość modyfikacji treści, instalacji backdoorów lub przejęcia kont administratora.
Należy zaktualizować wtyczkę Flash News / Post (Responsive) do wersji wyższej niż 4.1. Jeśli aktualizacja nie jest dostępna, należy dezaktywować i usunąć wtyczkę. Szczegółowe informacje dostępne są w bazie Patchstack pod wskazanym adresem referencyjnym.
Wtyczka WordPress Flash News / Post (Responsive) (slug: flashnews-fading-effect-pearlbells) autorstwa lizeipe, wersje od n/a do 4.1 włącznie.
Podatność została opublikowana przez Patchstack w bazie podatności WordPress. CVSS 9.8 przy wektorze AV:N/AC:L/PR:N/UI:N jest niestandartowo wysokim wynikiem dla podatności CSRF, która zazwyczaj wymaga interakcji użytkownika (UI:R) — administratorzy powinni zweryfikować rzeczywisty zakres ryzyka w dokumentacji producenta.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H