En fejl i to WordPress tilpassede plug-ins efterlader brugere sårbare over for cross-site scripting-angreb (XSS), ifølge en nylig rapport.
Patchstack-forsker Rafie Muhammad opdagede for nylig en XSS-fejl i Avancerede brugerdefinerede felter og Advanced Custom Fields Pro plug-ins, som aktivt installeres af over 2 millioner brugere verden over, iflg Blødende computer.
Anbefalede videoer
Fejlen, kaldet CVE-2023-30777, blev opdaget den 2. maj og fik en fremtrædende plads i høj grad. Udvikleren af plug-ins, WP Engine, leverede hurtigt en sikkerhedsopdatering, version 6.1.6, inden for få dage efter at have lært om sårbarheden den 4. maj.
Relaterede
- Denne Twitter-sårbarhed kan have afsløret ejere af brænderkonti
- Tumblr lover, at det har rettet en fejl, der efterlod brugerdata afsløret
Det populære brugerdefinerede feltbyggere tillade brugere at have fuld kontrol over deres indholdsstyringssystem fra bagenden med WordPress-redigeringsskærme, brugerdefinerede feltdata og andre funktioner.
XSS-fejl kan dog ses på en frontvendt måde og virker ved at injicere "ondsindede scripts på websteder set af andre, hvilket resulterer i udførelse af kode på den besøgendes webbrowser," Bleeping Computer tilføjet.
Dette kunne efterlade besøgende på webstedet åbne for at få deres data stjålet fra inficerede WordPress-websteder, bemærkede Patchstack.
Specifikke oplysninger om XSS-sårbarheden indikerer, at den kan blive udløst af en "standardinstallation eller -konfiguration af plug-in'et Advanced Custom Fields." Brugerne skulle dog have logget ind-adgang til Advanced Custom Fields-plug-in'et for at udløse det i første omgang, hvilket betyder, at en dårlig skuespiller ville være nødt til at narre nogen med adgang for at udløse fejlen, tilføjede forskerne.
CVE-2023-30777-fejlen kan findes i admin_body_class funktionsbehandler, hvor en dårlig skuespiller kan injicere ondsindet kode. Denne fejl injicerer især DOM XSS-nyttelaster i den forkert udarbejdede kode, som ikke fanges af kodens desinficeringsoutput, en slags sikkerhedsforanstaltning, som er en del af fejlen.
Rettelsen på version 6.1.6 introducerede admin_body_class hook, som blokerer for at XSS-angrebet kan udføres.
Brugere af Avancerede brugerdefinerede felter og Advanced Custom Fields Pro skal opgradere plug-ins til version 6.1.6 eller nyere. Mange brugere er fortsat modtagelige for angreb, og cirka 72,1 % af WordPress.org plug-in brugere har versioner, der kører under 6.1. Dette gør deres websteder sårbare ikke kun over for XSS-angreb, men også over for andre fejl i naturen. sagde.
Redaktørens anbefalinger
- Hackere bruger falske WordPress DDoS-sider til at starte malware
- Din Lenovo bærbare computer kan have en alvorlig sikkerhedsfejl
Opgrader din livsstilDigital Trends hjælper læserne med at holde styr på den hurtige teknologiske verden med alle de seneste nyheder, sjove produktanmeldelser, indsigtsfulde redaktionelle artikler og enestående smugkig.
