ThirstyAffiliates WordPress Complemento Vulnerabilidades


La base de datos nacional de vulnerabilidades de los Estados Unidos (NVD) anunció que el complemento de WordPress Thirsty Affiliate Link Manager tiene dos vulnerabilidades que pueden permitir que un hacker inyecte enlaces. Además, el complemento carece de verificación de falsificación de solicitudes entre sitios, lo que puede conducir a un compromiso completo del sitio web de la víctima.

Complemento de administrador de enlaces de ThirstyAffiliates

El complemento de WordPress ThirstyAffiliates Link Manager ofrece herramientas de administración de enlaces de afiliados. Los enlaces de afiliados cambian constantemente y una vez que un enlace se vuelve obsoleto, el afiliado ya no ganará dinero con ese enlace.

El complemento de administración de enlaces de afiliados de WordPress resuelve este problema al proporcionar una forma de administrar los enlaces de afiliados desde una sola área en el panel de administración de WordPress, lo que facilita cambiar las URL de destino en todo el sitio cambiando un enlace.

La herramienta permite una forma de agregar enlaces de afiliados dentro del contenido a medida que se escribe el contenido.

ThirstyAffiliate Link Manager WordPress Plugin Vulnerabilidades

La base de datos nacional de vulnerabilidades (NVD) de los Estados Unidos describió dos vulnerabilidades que permiten a cualquier usuario que haya iniciado sesión, incluidos los usuarios a nivel de suscriptor, crear enlaces de afiliados y también cargar imágenes con enlaces que pueden liderar a los usuarios que hacen clic en los enlaces a cualquier sitio web. .

El NVD describe el vulnerabilidades:

CVE-2022-0398

“El complemento de WordPress ThirstyAffiliates Affiliate Link Manager anterior a 3.10.5 no tiene autorización ni verificaciones CSRF al crear enlaces de afiliados, lo que podría permitir que cualquier usuario autenticado, como el suscriptor, cree enlaces de afiliado arbitrarios, que luego podrían usarse para redirigir a los usuarios a un sitio web arbitrario.”

CVE-2022-0634

“El complemento de WordPress ThirstyAffiliates Affiliate Link Manager anterior a 3.10.5 carece de verificaciones de autorización en la acción ta_insert_external_image, lo que permite que un usuario con privilegios bajos (con un rol tan bajo como Suscriptor) agregue una imagen desde una URL externa a un enlace de afiliado.

Además, el complemento carece de controles csrf, lo que permite que un atacante engañe a un usuario registrado para realizar la acción mediante la elaboración de una solicitud especial.

Falsificación de solicitud entre sitios

Un ataque de falsificación de solicitud entre sitios es aquel que hace que un usuario que ha iniciado sesión ejecute un comando arbitrario en un sitio web a través del navegador que está utilizando el visitante del sitio.

En un sitio web que carece de controles CSRF, el sitio web no puede diferenciar entre un navegador que muestra las credenciales de cookies de un usuario que ha iniciado sesión y una solicitud autenticada falsificada (autenticado significa que ha iniciado sesión).

Si el usuario que inició sesión tiene entrada de nivel de administrador, el ataque puede conducir a una toma total del sitio porque todo el sitio web está comprometido.

Se recomienda actualizar el complemento ThirstyAffiliates link Manager

El complemento ThirstyAffiliates ha publicado un parche para las dos vulnerabilidades. Puede ser prudente actualizar a la versión más segura del complemento, 3.10.5.

Citas

Lea las advertencias oficiales de vulnerabilidad de NVD

CVE-2022-0634 Detalle

CVE-2022-0398 Detalle

Lea los detalles de la vulnerabilidad de escaneo de WP y revise la prueba de concepto

ThirstyAffiliates Affiliate Link Manager

ThirstyAffiliates





Consultar el artículo en la publicación original

ThirstyAffiliates WordPress Complemento Vulnerabilidades
Salir de la versión móvil