Издание Search Engine Journal сообщило, что в популярном плагине Redux обнаружилась критическая уязвимость, позволяющая совершать CSRF-атаки. Недавно разработчики расширения выпустили патч, устраняющий брешь в безопасности.
CSRF-атаки позволяют злоумышленникам получить контроль над ресурсом с помощью учетной записи администратора. Они выполняют произвольные команды и передают на сайт вредоносный код, используя данные авторизованных пользователей без их ведома.
Ошибка в Redux позволяла обойти систему защиты в WordPress, которая блокировала передачу данных от сторонних лиц, не прошедших аутентификацию. Принцип ее работы заключается в генерировании уникальных кодов («нонсов»), подтверждающих, что доступ к информации пытается получить пользователь с соответствующими привилегиями. Из-за уязвимости в Redux сайт некорректно проверял подлинность передаваемых «нонсов», и злоумышленники пользовались этим, чтобы перехватить доступ к ресурсу.
Брешь в безопасности расширения устранили еще в октябре 2020 года, но с выходом предпоследнего обновления она появилась снова. По словам разработчиков, на текущий момент ошибка полностью устранена.
Redux — один из самых распространенных плагинов для WordPress, поэтому масштаб проблемы трудно переоценить. Специалисты по безопасности и разработчики рекомендуют как можно скорее обновить Redux до версии 4.1.24, которая вышла 12 декабря.
Комментарии