Ein Fehler in zweifacher Hinsicht WordPress Laut einem aktuellen Bericht machen benutzerdefinierte Plug-ins Benutzer anfällig für Cross-Site-Scripting-Angriffe (XSS).
Patchstack-Forscher Rafie Muhammad hat kürzlich einen XSS-Fehler im entdeckt Erweiterte benutzerdefinierte Felder Und Erweiterte benutzerdefinierte Felder Pro Plug-Ins, die laut Angaben von über 2 Millionen Benutzern weltweit aktiv installiert werden Piepender Computer.
Empfohlene Videos
Der Fehler mit der Bezeichnung CVE-2023-30777 wurde am 2. Mai entdeckt und erhielt einen hohen Schweregrad. Der Plug-in-Entwickler WP Engine stellte am 4. Mai schnell ein Sicherheitsupdate, Version 6.1.6, bereit, nur wenige Tage nachdem er von der Sicherheitslücke erfahren hatte.
Verwandt
- Diese Twitter-Schwachstelle könnte Besitzer von Brennerkonten aufgedeckt haben
- Tumblr verspricht, einen Fehler behoben zu haben, durch den Benutzerdaten offengelegt wurden
Der populäre benutzerdefinierte Feldersteller Ermöglichen Sie Benutzern die vollständige Kontrolle über ihr Content-Management-System vom Backend aus, mit WordPress-Bearbeitungsbildschirmen, benutzerdefinierten Felddaten und anderen Funktionen.
Allerdings können XSS-Bugs im Vorhinein erkannt werden und funktionieren, indem sie „bösartige Skripte“ einschleusen Websites, die von anderen angezeigt werden, was zur Ausführung von Code im Webbrowser des Besuchers führt“, sagt Bleeping Computer hinzugefügt.
Dies könnte dazu führen, dass Website-Besucher Gefahr laufen, dass ihre Daten von infizierten WordPress-Seiten gestohlen werden, so Patchstack.
Einzelheiten zur XSS-Schwachstelle deuten darauf hin, dass sie möglicherweise durch eine „Standardinstallation oder -konfiguration des Advanced Custom Fields-Plug-Ins“ ausgelöst wird. Allerdings müssten Benutzer haben Die Forscher fügten hinzu, dass ein angemeldeter Benutzer Zugriff auf das Plug-in „Erweiterte benutzerdefinierte Felder“ habe, um es überhaupt auszulösen, was bedeutet, dass ein böswilliger Akteur jemanden mit Zugriff austricksen müsste, um den Fehler auszulösen.
Der Fehler CVE-2023-30777 ist im zu finden admin_body_class Funktionshandler, in den ein böswilliger Akteur Schadcode einschleusen kann. Insbesondere fügt dieser Fehler DOM-XSS-Nutzlasten in den falsch entworfenen Code ein, der nicht von der Sanitize-Ausgabe des Codes erfasst wird, einer Art Sicherheitsmaßnahme, die Teil des Fehlers ist.
Der Fix auf Version 6.1.6 führte das ein admin_body_class-Hook, Dadurch wird verhindert, dass der XSS-Angriff ausgeführt werden kann.
Benutzer von Erweiterte benutzerdefinierte Felder Und Erweiterte benutzerdefinierte Felder Pro sollten die Plug-ins auf Version 6.1.6 oder höher aktualisieren. Viele Benutzer bleiben anfällig für Angriffe, wobei etwa 72,1 % der WordPress.org-Plug-in-Benutzer Versionen ausführen unter 6.1. Dies macht ihre Websites nicht nur anfällig für XSS-Angriffe, sondern auch für andere Schwachstellen, so die Veröffentlichung genannt.
Empfehlungen der Redaktion
- Hacker nutzen gefälschte WordPress-DDoS-Seiten, um Malware zu starten
- Ihr Lenovo-Laptop weist möglicherweise eine schwerwiegende Sicherheitslücke auf
Werten Sie Ihren Lebensstil aufDigital Trends hilft Lesern mit den neuesten Nachrichten, unterhaltsamen Produktrezensionen, aufschlussreichen Leitartikeln und einzigartigen Einblicken, den Überblick über die schnelllebige Welt der Technik zu behalten.
