Плагин Xhanch — My Advanced Settings для WordPress уязвим к подделке межсайтовых запросов во всех версиях до 1.1.2 включительно. Это связано с отсутствием проверки nonce в функции xms_setting() обработчика обновления настроек. Это позволяет злоумышленникам, не прошедшим проверку подлинности, изменять настройки плагина с помощью поддельного запроса, при условии, что они могут обманом заставить администратора сайта выполнить такое действие, как нажатие на ссылку.
Настройки, которые можно изменить, включают URL-адрес значка, идентификатор учетной записи Google Analytics и различные переключатели поведения WordPress. Значения `favicon_url` и `ga_acc_id` выводятся во внешнем интерфейсе без экранирования, что позволяет использовать CSRF для цепочки Stored XSS.
Показать оригинальное описание (EN)
The Xhanch - My Advanced Settings plugin for WordPress is vulnerable to Cross-Site Request Forgery in all versions up to, and including, 1.1.2. This is due to missing nonce validation in the `xms_setting()` function on the settings update handler. This makes it possible for unauthenticated attackers to modify plugin settings via a forged request granted they can trick a site administrator into performing an action such as clicking on a link. Settings that can be modified include favicon URL, Google Analytics account ID, and various WordPress behavior toggles. The `favicon_url` and `ga_acc_id` values are output on the front-end without escaping, enabling a CSRF to Stored XSS chain.
Характеристики атаки
Последствия
Строка CVSS v3.1