ThirstyAffiliates WordPress插件发现重大漏洞

ThirstyAffiliates Affiliate Link Manager WordPress 插件中发现的两个漏洞可导致整个站点被黑客接管和插入任意链接。根据WordPress官网显示,该插件目前有超过4万个站点正在使用。

日前,美国国家漏洞数据库(NVD)宣布,Thirsty Affiliate Link Manager WordPress 插件有两个漏洞,可以让黑客注入链接。此外,该插件缺少跨站点请求伪造检查,这可能导致受害者网站的完全入侵。

“3.10.5 之前的 ThirstyAffiliates Affiliate Link Manager WordPress 插件在创建附属链接时没有授权和 CSRF 检查,这可能允许任何经过身份验证的用户(例如订阅者)创建任意附属链接,然后可用于将用户重定向到任意网站。”

CVE-2022-0398

“3.10.5 之前的 ThirstyAffiliates Affiliate Link Manager WordPress 插件在 ta_insert_external_image 操作中缺少授权检查,允许低权限用户(具有低至订阅者的角色)将图像从外部 URL 添加到附属链接。

此外,该插件缺少 csrf 检查,允许攻击者通过制作特殊请求来欺骗登录用户执行操作。”

CVE-2022-0634

ThirstyAffiliates的主要用途是:为博主提供了通过 WordPress 网站联盟营销获利所需的工具。

官网链接:https://wordpress.org/plugins/thirstyaffiliates/

建议更新 Thirsty Affiliate Link Manager WordPress 插件

Thirsty Affiliate Link Manager WordPress 插件已针对这两个漏洞发布了补丁(最新版本3.10.5)。但暂未确定是否就以上两个漏洞进行了完全修复。

扩展阅读:

CVE-2022-0634 详细信息

CVE-2022-0398 详细信息

站长帮社区

建站技术交流社区,欢迎提问与交流,还有大量WordPress主题与插件。

发表评论