Para peneliti telah mengungkapkan kekurangan keamanan yang mempengaruhi tiga plugin WordPress yang berbeda yang berdampak pada lebih dari 84.000 situs web dan dapat disalahgunakan oleh aktor jahat untuk mengambil alih situs yang rentan.
“Cacat ini memungkinkan penyerang untuk memperbarui opsi situs sewenang-wenang di situs yang rentan, asalkan mereka dapat mengelabui administrator situs untuk melakukan tindakan, seperti mengklik tautan,” kata perusahaan keamanan WordPress Wordfence dalam sebuah laporan yang diterbitkan pekan lalu.
Dilacak sebagai CVE-2022-0215, cacat cross-site request forgery (CSRF) dinilai 8,8 pada skala CVSS dan berdampak pada tiga plugin yang dikelola oleh Xootix –
- Popup Login / Pendaftaran (Formulir Inline + Woocommerce),
- Side Cart Woocommerce (Ajax), dan
- Waitlist Woocommerce (Kembali dalam notifier saham)
Pemalsuan permintaan lintas situs, juga dikenal sebagai serangan satu klik atau sesi berkuda, terjadi ketika pengguna akhir yang diautentikasi ditipu oleh penyerang untuk mengirimkan permintaan web yang dibuat khusus. “Jika korban adalah akun administratif, CSRF dapat membahayakan seluruh aplikasi web,” catatan OWASP dalam dokumentasinya.
Selengkapnya: The Hacker News
