Platform
wordpress
Component
wp-responsive-slider-with-lightbox
Opgelost in
1.0.1
CVE-2023-5820 beschrijft een Cross-Site Request Forgery (XSRF) kwetsbaarheid in de Thumbnail Slider With Lightbox WordPress plugin. Deze kwetsbaarheid stelt aanvallers in staat om ongeautoriseerde bestanden te uploaden via een vervalst verzoek, mits ze een beheerder kunnen misleiden om een actie uit te voeren. De kwetsbaarheid treft versie 1.0 van de plugin. Een fix is beschikbaar in latere versies.
Een succesvolle exploitatie van deze XSRF kwetsbaarheid kan leiden tot ongeautoriseerde bestanden uploaden op de WordPress website. Dit kan gebruikt worden om kwaadaardige code uit te voeren, de website te compromitteren of gevoelige informatie te stelen. De aanval vereist dat een aanvaller een beheerder van de website weet te misleiden om op een speciaal vervaardigde link te klikken of een actie uit te voeren. De impact is aanzienlijk, aangezien een succesvolle aanval de volledige controle over de website kan overnemen.
Deze kwetsbaarheid is openbaar bekend en de details zijn beschikbaar. Er zijn momenteel geen bekende actieve campagnes gericht op deze specifieke kwetsbaarheid, maar het is waarschijnlijk dat aanvallers deze kwetsbaarheid zullen proberen te exploiteren. De kwetsbaarheid is opgenomen in het CISA KEV catalogus, wat de urgentie van mitigatie onderstreept.
WordPress websites using the Thumbnail Slider With Lightbox plugin version 1.0 are at risk. Sites with administrative accounts that are frequently used or susceptible to phishing attacks are particularly vulnerable. Shared hosting environments where plugin updates are not managed by the user are also at increased risk.
• wordpress / composer / npm:
grep -r 'addedit' /var/www/html/wp-content/plugins/thumbnail-slider-with-lightbox/• generic web:
curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=addedit&new_filename=malicious.php | grep -i '200 OK'disclosure
Exploit Status
EPSS
0.10% (28% percentiel)
CVSS-vector
De primaire mitigatie is het upgraden van de Thumbnail Slider With Lightbox plugin naar een beveiligde versie zodra deze beschikbaar is. Totdat een upgrade mogelijk is, kan een Web Application Firewall (WAF) worden geconfigureerd om XSRF-aanvallen te blokkeren. Controleer ook de WordPress configuratie op extra beveiligingsmaatregelen, zoals het gebruik van sterke wachtwoorden en tweefactorauthenticatie voor beheerders. Implementeer strikte bestands upload restricties om de impact van een succesvolle aanval te beperken.
Werk de Thumbnail Slider With Lightbox plugin bij naar een versie later dan 1.0. Dit zal de CSRF-kwetsbaarheid verhelpen waardoor niet-geauthenticeerde aanvallers bestanden kunnen uploaden als ze een beheerder kunnen misleiden om op een kwaadaardige link te klikken.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2023-5820 is a Cross-Site Request Forgery (XSRF) vulnerability in the Thumbnail Slider With Lightbox WordPress plugin, allowing attackers to upload files via forged requests.
You are affected if you are using Thumbnail Slider With Lightbox version 1.0. Check your plugin version and upgrade immediately.
Upgrade the Thumbnail Slider With Lightbox plugin to a patched version. If upgrading is not possible, implement temporary workarounds like restricting file upload permissions.
While no public exploits are currently known, the ease of exploitation makes it a potential target for attackers.
Refer to the WordPress plugin repository and the plugin developer's website for the latest security advisories and updates.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.