Недостатък на две WordPress персонализирани добавки прави потребителите уязвими на атаки със скриптове между сайтове (XSS), според скорошен доклад.
Изследовател на Patchstack Rafie Muhammad наскоро откри XSS недостатък в Разширени персонализирани полета и Advanced Custom Fields Pro плъгини, които се инсталират активно от над 2 милиона потребители по целия свят, според Блеещ компютър.
Препоръчани видеоклипове
Пропускът, наречен CVE-2023-30777, беше открит на 2 май и му беше дадена висока степен на сериозност. Разработчикът на плъгините, WP Engine, бързо предостави актуализация за защита, версия 6.1.6, в рамките на дни след като научи за уязвимостта, на 4 май.
Свързани
- Тази уязвимост в Twitter може да е разкрила собственици на акаунти за записване
- Tumblr обещава, че е поправил грешка, която оставя потребителските данни изложени на показ
Популярният персонализирани строители на полета позволяват на потребителите да имат пълен контрол върху тяхната система за управление на съдържанието от задната част, с екрани за редактиране на WordPress, персонализирани данни за полета и други функции.
Въпреки това грешките в XSS могат да се видят отпред и работят чрез инжектиране на „злонамерени скриптове на уебсайтове, разглеждани от други, което води до изпълнение на код в уеб браузъра на посетителя“, Bleeping Добавен компютър.
Това може да остави посетителите на уебсайтове отворени за кражба на техните данни от заразени сайтове на WordPress, отбеляза Patchstack.
Специфичните данни за XSS уязвимостта показват, че тя може да бъде задействана от „инсталация или конфигурация по подразбиране на приставката Advanced Custom Fields“. Потребителите обаче трябва да имат влязъл в системата достъп до плъгина Advanced Custom Fields, за да го задейства на първо място, което означава, че лош актьор ще трябва да измами някого с достъп, за да задейства пропуска, добавят изследователите.
Дефектът CVE-2023-30777 може да бъде намерен в admin_body_class манипулатор на функции, в който лош актьор може да инжектира зловреден код. По-конкретно, този бъг инжектира полезни натоварвания на DOM XSS в неправилно съставения код, който не се улавя от дезинфекциращия изход на кода, нещо като мярка за сигурност, която е част от пропуска.
Корекцията на версия 6.1.6 въведе admin_body_class кука, което блокира възможността за изпълнение на XSS атаката.
Потребители на Разширени персонализирани полета и Advanced Custom Fields Pro трябва да надстроите добавките до версия 6.1.6 или по-нова. Много потребители остават податливи на атаки, като приблизително 72,1% от потребителите на плъгини на WordPress.org имат работещи версии под 6.1. Това прави уебсайтовете им уязвими не само за XSS атаки, но и за други недостатъци в дивата природа, публикацията казах.
Препоръки на редакторите
- Хакерите използват фалшиви DDoS страници на WordPress, за да стартират зловреден софтуер
- Вашият лаптоп Lenovo може да има сериозен пропуск в сигурността
Надградете начина си на животDigital Trends помага на читателите да следят забързания свят на технологиите с всички най-нови новини, забавни ревюта на продукти, проницателни редакционни статии и единствени по рода си кратки погледи.
