【資安通報】
風險等級(滿分為10分): 8.8(高)
受影響版本: <= 7.2.4
簡述:
外掛存在跨站請求偽造(CSRF)漏洞。這是由於「wp_file_manager」頁面上的隨機數驗證缺失或不正確,這使得未經身份驗證的攻擊者可以載入本機 JavaScript 檔案,如果能夠誘使網站管理員執行某些操作(如點擊連結),就有可能透過偽造的請求獲得遠端程式碼執行的能力。
參考資料:
- https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/wp-file-manager/file-manager-724-cross-site-request-forgery-to-local-js-file-inclusion
- https://www.wordfence.com/blog/2024/03/601-bounty-awarded-for-interesting-cross-site-request-forgery-to-local-js-file-inclusion-vulnerability-patched-in-file-manager-wordpress-plugin/
#大邵報資安
#WordPress
