Chyba ve dvou WordPress vlastní zásuvné moduly zanechávají uživatele zranitelné vůči útokům cross-site scripting (XSS), podle nedávné zprávy.
Výzkumník patchstacků Rafie Muhammad nedávno objevil chybu XSS v Pokročilá vlastní pole a Advanced Custom Fields Pro plug-iny, které si aktivně instaluje přes 2 miliony uživatelů po celém světě Pípavý počítač.
Doporučená videa
Chyba nazvaná CVE-2023-30777 byla objevena 2. května a dostala velmi závažnou důležitost. Vývojář zásuvných modulů, WP Engine, rychle poskytl aktualizaci zabezpečení, verzi 6.1.6, během několika dní poté, co se o této zranitelnosti dozvěděl, 4. května.
Příbuzný
- Tato chyba zabezpečení Twitteru mohla odhalit vlastníky účtů vypalovaček
- Tumblr slibuje, že opraví chybu, která ponechala uživatelská data odhalená
Populární zakázkové stavitele polí umožňují uživatelům mít plnou kontrolu nad svým systémem pro správu obsahu z back-endu pomocí obrazovek úprav WordPress, vlastních dat polí a dalších funkcí.
Chyby XSS však lze vidět z přední strany a fungují tak, že do nich vkládají „škodlivé skripty webové stránky prohlížené ostatními, což má za následek spuštění kódu ve webovém prohlížeči návštěvníka,“ Bleeping Přidán počítač.
To by mohlo způsobit, že návštěvníci webu budou vystaveni krádeži dat z infikovaných webů WordPress, poznamenal Patchstack.
Konkrétní údaje o zranitelnosti XSS naznačují, že může být spuštěna „výchozí instalací nebo konfigurací zásuvného modulu Advanced Custom Fields“. Uživatelé by však museli mít Přihlášený přístup k zásuvnému modulu Advanced Custom Fields, aby jej spustil na prvním místě, což znamená, že špatný herec by musel někoho oklamat s přístupem, aby spustil chybu, dodali výzkumníci.
Chybu CVE-2023-30777 lze nalézt v admin_body_class obslužný program funkcí, do kterého může špatný herec vložit škodlivý kód. Tato chyba zejména vkládá užitečné zatížení DOM XSS do nesprávně navrženého kódu, který není zachycen výstupem dezinfekce kódu, což je svým způsobem bezpečnostní opatření, které je součástí chyby.
Oprava ve verzi 6.1.6 zavedla háček admin_body_class, která brání provedení XSS útoku.
Uživatelé Pokročilá vlastní pole a Advanced Custom Fields Pro měli upgradovat zásuvné moduly na verzi 6.1.6 nebo novější. Mnoho uživatelů zůstává náchylných k útoku, přičemž přibližně 72,1 % uživatelů plug-inu WordPress.org má spuštěné verze níže 6.1. Díky tomu jsou jejich webové stránky zranitelné nejen vůči útokům XSS, ale také vůči jiným nedostatkům ve volné přírodě, uvádí publikace řekl.
Doporučení redakce
- Hackeři používají falešné stránky WordPress DDoS ke spouštění malwaru
- Váš notebook Lenovo může mít vážnou bezpečnostní chybu
Upgradujte svůj životní stylDigitální trendy pomáhají čtenářům mít přehled o rychle se měnícím světě technologií se všemi nejnovějšími zprávami, zábavnými recenzemi produktů, zasvěcenými úvodníky a jedinečnými náhledy.
