Plataforma
wordpress
Componente
wp-responsive-slider-with-lightbox
Corrigido em
1.0.1
A vulnerabilidade CVE-2023-5820 afeta o plugin Thumbnail Slider With Lightbox para WordPress, especificamente na versão 1.0. Esta falha de Cross-Site Request Forgery (XSRF) permite que atacantes não autenticados enviem arquivos maliciosos ao sistema. A ausência de validação adequada de nonce na funcionalidade 'addedit' torna possível a exploração, colocando em risco a integridade do site WordPress. A correção foi publicada em 2023-10-27.
Um atacante pode explorar esta vulnerabilidade de XSRF para enviar arquivos arbitrários ao servidor WordPress, potencialmente comprometendo a segurança do site. Isso pode incluir o upload de shells web para execução remota de código, arquivos maliciosos para disseminação de malware ou arquivos de configuração alterados para comprometer a funcionalidade do site. O impacto é significativo, pois um atacante pode obter controle sobre o servidor WordPress, roubar dados sensíveis ou realizar outras ações maliciosas. A ausência de validação de nonce simplifica o processo de criação de requisições forjadas, tornando a exploração relativamente fácil para atacantes com conhecimento técnico.
A vulnerabilidade CVE-2023-5820 foi divulgada em 27 de outubro de 2023. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da redação. A ausência de um Proof of Concept (PoC) público não elimina o risco, pois a vulnerabilidade é relativamente simples de explorar. É recomendável aplicar as medidas de mitigação o mais rápido possível.
WordPress websites using the Thumbnail Slider With Lightbox plugin version 1.0 are at risk. Sites with administrative accounts that are frequently used or susceptible to phishing attacks are particularly vulnerable. Shared hosting environments where plugin updates are not managed by the user are also at increased risk.
• wordpress / composer / npm:
grep -r 'addedit' /var/www/html/wp-content/plugins/thumbnail-slider-with-lightbox/• generic web:
curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=addedit&new_filename=malicious.php | grep -i '200 OK'disclosure
Status do Exploit
EPSS
0.10% (percentil 28%)
Vetor CVSS
A mitigação imediata para CVE-2023-5820 envolve a atualização do plugin Thumbnail Slider With Lightbox para a versão corrigida, assim que disponível. Enquanto isso, implemente medidas de segurança adicionais, como a validação rigorosa de todas as entradas de usuário e a utilização de tokens CSRF em todas as requisições críticas. Considere a implementação de um Web Application Firewall (WAF) para bloquear requisições maliciosas. Monitore os logs do servidor WordPress em busca de atividades suspeitas, como uploads de arquivos inesperados ou requisições de origem incomum. A verificação após a atualização deve incluir a confirmação de que a funcionalidade 'addedit' está protegida contra requisições forjadas.
Atualize o plugin Thumbnail Slider With Lightbox para uma versão posterior à 1.0. Isso corrigirá a vulnerabilidade CSRF (Cross-Site Request Forgery) que permite que atacantes não autenticados enviem arquivos arbitrários se enganarem um administrador para clicar em um link malicioso.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2023-5820 is a Cross-Site Request Forgery (XSRF) vulnerability in the Thumbnail Slider With Lightbox WordPress plugin, allowing attackers to upload files via forged requests.
You are affected if you are using Thumbnail Slider With Lightbox version 1.0. Check your plugin version and upgrade immediately.
Upgrade the Thumbnail Slider With Lightbox plugin to a patched version. If upgrading is not possible, implement temporary workarounds like restricting file upload permissions.
While no public exploits are currently known, the ease of exploitation makes it a potential target for attackers.
Refer to the WordPress plugin repository and the plugin developer's website for the latest security advisories and updates.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.