Un nuevo error de WordPress puede haber dejado 2 millones de sitios vulnerables

Un defecto en dos WordPress los complementos personalizados dejan a los usuarios vulnerables a los ataques de secuencias de comandos entre sitios (XSS), según un informe reciente.

investigador de patchstack Rafie Muhammad descubrió recientemente una falla XSS en el Campos personalizados avanzados y Campos personalizados avanzados Pro complementos, que son instalados activamente por más de 2 millones de usuarios en todo el mundo, según computadora pitido.

Vídeos recomendados

La falla, llamada CVE-2023-30777, se descubrió el 2 de mayo y se le dio una prominencia de alta gravedad. El desarrollador de los complementos, WP Engine, proporcionó rápidamente una actualización de seguridad, la versión 6.1.6, a los pocos días de enterarse de la vulnerabilidad, el 4 de mayo.

Relacionado

  • Esta vulnerabilidad de Twitter puede haber revelado a los propietarios de cuentas desechables
  • Tumblr promete corregir un error que dejaba expuestos los datos de los usuarios

Popular constructores de campos personalizados

permita a los usuarios tener el control total de su sistema de administración de contenido desde el back-end, con pantallas de edición de WordPress, datos de campo personalizados y otras características.

Sin embargo, los errores XSS se pueden ver de frente y funcionan inyectando "scripts maliciosos en sitios web vistos por otros, lo que resulta en la ejecución de código en el navegador web del visitante”, Bleeping Se agregó la computadora.

Esto podría dejar a los visitantes del sitio web expuestos a que sus datos sean robados de los sitios de WordPress infectados, señaló Patchstack.

Los detalles sobre la vulnerabilidad XSS indican que podría desencadenarse por una "instalación o configuración predeterminada del complemento Advanced Custom Fields". Sin embargo, los usuarios tendrían que tener acceso de inicio de sesión al complemento Advanced Custom Fields para activarlo en primer lugar, lo que significa que un mal actor tendría que engañar a alguien con acceso para activar la falla, agregaron los investigadores.

La falla CVE-2023-30777 se puede encontrar en el admin_body_class controlador de funciones, en el que un mal actor puede inyectar código malicioso. En particular, este error inyecta cargas útiles DOM XSS en el código redactado incorrectamente, que no es detectado por la salida de desinfección del código, una especie de medida de seguridad, que es parte de la falla.

La corrección en la versión 6.1.6 introdujo el gancho admin_body_class, que bloquea el ataque XSS para que no pueda ejecutarse.

Usuarios de Campos personalizados avanzados y Campos personalizados avanzados Pro debe actualizar los complementos a la versión 6.1.6 o posterior. Muchos usuarios siguen siendo susceptibles a los ataques, con aproximadamente el 72,1% de los usuarios del complemento de WordPress.org que tienen versiones en ejecución. por debajo de 6.1. Esto hace que sus sitios web sean vulnerables no solo a los ataques XSS sino también a otras fallas en la naturaleza, la publicación dicho.

Recomendaciones de los editores

  • Los piratas informáticos están utilizando páginas falsas de DDoS de WordPress para lanzar malware
  • Tu portátil Lenovo puede tener un grave fallo de seguridad

Mejora tu estilo de vidaDigital Trends ayuda a los lectores a mantenerse al tanto del vertiginoso mundo de la tecnología con las últimas noticias, reseñas divertidas de productos, editoriales perspicaces y adelantos únicos.