高度严重的跨站点请求伪造（CSRF）错误使攻击者可以接管运行未修补版本的Code Snippets插件的WordPress网站，原因是在导入菜单上缺少引荐检查。

根据其WordPress库条目上的活动安装数量，目前有200,000个网站使用该开源代码段插件。

这个开源插件使用户可以在其WordPress网站上运行PHP代码段，并且还提供了“图形界面，类似于用于管理代码段的Plugins菜单”。

WordPress跨站请求伪造

该漏洞被跟踪为CVE-2020-8417并被评为高严重性  ，该漏洞已由Wordfence的威胁情报团队发现并报告给插件开发人员两天后的1月25日，在2.14.0版本中进行了修补。

CSRF的这一“缺陷使攻击者能够代表管理员伪造请求并在易受攻击的站点上注入代码，”使潜在的攻击者可以在运行易受攻击的代码片段安装的网站上远程执行任意代码。

补丁代码片段插件

“保护这个插件与WordPress的随机数“以提高安全性的几乎所有端点的插件开发者，” 在Wordfence研究人员解释说。

“但是，插件的导入功能缺少相同的CSRF保护。没有这种保护，攻击者可能会发出恶意请求，诱骗管理员感染自己的网站。”

然后，攻击者可以使用这些恶意请求将恶意代码注入要在站点上执行的恶意代码，从而可以“在站点上创建新的管理帐户，泄露敏感信息，感染站点用户等”。

Wordfence提供了一个概念验证视频-嵌入在上面-展示了代码片段2.14.0中修补的CSRF至RCE漏洞。

概念验证（PoC）漏洞也将在2月12日发布，以允许插件的用户进行更新。

提醒仍在使用代码片段2.13.3或更早版本的WordPress管理员立即将其安装更新为最新版本，以作为防御措施，以防将来可能使攻击者完全控制其站点的攻击。

尽管WordPress插件库不提供每日下载量统计信息，但大约有58K用户已经下载并安装了最新版本，这意味着至少有14万WordPress站点在运行此插件，仍然受到潜在的接管攻击。