عيب في اثنين ووردبريس وفقًا لتقرير حديث ، تترك المكونات الإضافية المخصصة المستخدمين عرضة لهجمات البرمجة النصية عبر المواقع (XSS).
باحث Patchstack اكتشف رافع محمد مؤخرًا عيبًا في XSS في ملف الحقول المخصصة المتقدمة و Advanced Custom Fields Pro المكونات الإضافية ، والتي يتم تثبيتها بنشاط بواسطة أكثر من 2 مليون مستخدم حول العالم ، وفقًا لـ كمبيوتر نائم.
مقاطع الفيديو الموصى بها
تم اكتشاف الخلل المسمى CVE-2023-30777 في 2 مايو وأعطي أهمية كبيرة. قدم مطور المكونات الإضافية ، WP Engine ، تحديثًا أمنيًا سريعًا ، الإصدار 6.1.6 ، في غضون أيام من التعرف على الثغرة الأمنية ، في 4 مايو.
متعلق ب
- قد تكون هذه الثغرة الأمنية على Twitter قد كشفت عن مالكي حسابات الموقد
- يعد Tumblr بإصلاح الخلل الذي ترك بيانات المستخدم مكشوفة
الشعبية بناة الحقول المخصصة السماح للمستخدمين بالتحكم الكامل في نظام إدارة المحتوى الخاص بهم من النهاية الخلفية ، باستخدام شاشات تحرير WordPress ، وبيانات الحقول المخصصة ، وميزات أخرى.
ومع ذلك ، يمكن رؤية أخطاء XSS بشكل أمامي وتعمل عن طريق إدخال "نصوص ضارة على مواقع الويب التي شاهدها الآخرون ، مما أدى إلى تنفيذ التعليمات البرمجية على متصفح الويب الخاص بالزائر ، "Bleeping تمت إضافة الكمبيوتر.
وأشار Patchstack إلى أن هذا قد يترك زوار الموقع مفتوحين لسرقة بياناتهم من مواقع WordPress المصابة.
تشير التفاصيل المحددة حول ثغرة XSS إلى أنه قد يتم تشغيلها من خلال "تثبيت افتراضي أو تكوين للمكوِّن الإضافي Advanced Custom Fields." ومع ذلك ، فإن المستخدمين يجب أن يكون لديهم أضاف الباحثون أن الوصول المسجل إلى المكون الإضافي Advanced Custom Fields لتشغيله في المقام الأول ، مما يعني أن الفاعل السيئ يجب أن يخدع شخصًا لديه إمكانية الوصول لإثارة الخلل.
يمكن العثور على الخلل CVE-2023-30777 في ملف admin_body_class معالج الوظائف ، حيث يمكن لممثل سيء إدخال شفرة ضارة. على وجه الخصوص ، يقوم هذا الخطأ بحقن حمولات DOM XSS في الشفرة التي تمت صياغتها بشكل غير صحيح ، والتي لا يتم اكتشافها من خلال إخراج التعقيم للشفرة ، وهو إجراء أمني من نوع ما ، والذي يعد جزءًا من الخلل.
قدم الإصلاح في الإصدار 6.1.6 ملف admin_body_class هوك ، الذي يمنع هجوم XSS من القدرة على التنفيذ.
مستخدمو الحقول المخصصة المتقدمة و Advanced Custom Fields Pro يجب ترقية المكونات الإضافية إلى الإصدار 6.1.6 أو أحدث. يظل العديد من المستخدمين عرضة للهجوم ، حيث يعمل ما يقرب من 72.1٪ من مستخدمي المكونات الإضافية في WordPress.org أقل من 6.1. هذا يجعل مواقع الويب الخاصة بهم عرضة ليس فقط لهجمات XSS ولكن أيضًا للعيوب الأخرى في البرية ، المنشور قال.
توصيات المحررين
- يستخدم المتسللون صفحات WordPress DDoS وهمية لإطلاق البرامج الضارة
- قد يكون الكمبيوتر المحمول من Lenovo لديك عيبًا أمنيًا خطيرًا
ترقية نمط حياتكتساعد الاتجاهات الرقمية القراء على متابعة عالم التكنولوجيا سريع الخطى من خلال أحدث الأخبار ومراجعات المنتجات الممتعة والافتتاحيات الثاقبة والنظرات الخاطفة الفريدة من نوعها.
