超过20万个WordPress网站受到插件中CSRF漏洞影响

近期，Code Snippets插件曝出严重的跨站请求伪造（CSRF）漏洞（CVE-2020-8417），影响超过20万个WordPress网站。

该漏洞可以被攻击者用来接管运行了存在漏洞插件的WordPress站点（执行恶意代码），而且还不需要向主题的functions.php文件中添加自定义代码。

Code Snippets还实现了图形界面，类似于插件菜单，用于管理代码。就和普通插件一样，代码段可以被激活，也可以被禁用。

攻击者可以利用这个CSRF漏洞构造一个管理员可发出的请求，往漏洞站点注入恶意代码，进而远程执行任意代码。

Wordfence在发布的安全报告中表示：“1月23日，我们的威胁情报小组在Code Snippets中发现了一个漏洞，这是一个安装在20多万个网站上的WordPress插件。它可让任何人以管理员身份发出请求。我们在1月24日就向插件的开发者透露了全部漏洞细节，他们也很快做出了回应，并在一天后发布了安全补丁。”

这个插件目前已安装在超过200000个网站上，1月25日，开发团队发布了最新的2.14.0版本。

Wordfence的研究人员表示，除了插件的导入功能缺少CSRF保护之外，其他所有端点几乎都很安全。攻击者可以精心设计一个恶意请求，诱使管理员点击，隐秘地在站点上创建一个新的管理帐户（或者窃取敏感信息等）。

安全专家还公布了一段PoC视频。

https://youtu.be/tuGog329Ayg

而在2月12日研究人员将发布具体的PoC利用代码，所以相关网站管理员需尽快更新插件。

在撰写本文时，已有超过5万用户下载并安装了最新版本的插件，但仍有15万用户面临不小的安全风险。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://securityaffairs.co/wordpress/97037/hacking/code-snippets-plugin-csrf-flaw.html