WordPress Simple Membership插件跨站请求伪造漏洞
WordPress是WordPress基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。Simple Membership plugin是使用在其中的一个网站会员插件。
一、漏洞分析
公开日期:2019-07-29
漏洞编号:CVE-2019-14328/CNVD-2019-24794
危害等级:高危
漏洞描述:WordPress Simple Membership插件3.8.5之前版本中的Bulk Operation部分存在跨站请求伪造漏洞。该漏洞源于WEB应用未充分验证请求是否来自可信用户。攻击者可利用该漏洞通过受影响客户端向服务器发送非预期的请求。
二、漏洞影响范围
WordPress WordPress Simple Membership <3.8.5
三、漏洞处置建议
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://wordpress.org/plugins/simple-membership/#developers
