Kahes viga WordPress Värske raporti kohaselt jätavad kohandatud pistikprogrammid kasutajad haavatavaks saidiüleste skriptirünnakute (XSS) suhtes.
Patchstacki uurija Rafie Muhammad avastas hiljuti XSS-i vea Täpsemad kohandatud väljad ja Advanced Custom Fields Pro pistikprogrammid, mida installib aktiivselt üle 2 miljoni kasutaja kogu maailmas Piiksuv arvuti.
Soovitatavad videod
Viga nimega CVE-2023-30777 avastati 2. mail ja seda tõsteti esile. Pistikprogrammide arendaja WP Engine esitas 4. mail kiiresti turvavärskenduse versiooni 6.1.6, mõne päeva jooksul pärast haavatavusest teada saamist.
Seotud
- See Twitteri haavatavus võis paljastada põletikontode omanikud
- Tumblr lubab, et parandas vea, mis jättis kasutajaandmed avalikuks
Populaarne kohandatud põlluehitajad võimaldavad kasutajatel WordPressi redigeerimiskuvade, kohandatud väljaandmete ja muude funktsioonide abil oma sisuhaldussüsteemi täielikult kontrollida.
Kuid XSS-i vigu võib näha ettepoole ja need töötavad, sisestades „pahatahtlikke skripte teiste poolt vaadatud veebisaite, mille tulemuseks on koodi käivitamine külastaja veebibrauseris," Bleeping Arvuti lisatud.
Patchstack märkis, et see võib jätta veebisaidi külastajad avatuks nende andmete varastamisele nakatunud WordPressi saitidelt.
XSS-i haavatavuse üksikasjad näitavad, et selle võib käivitada „lisandmooduli Advanced Custom Fields vaikeinstallimine või konfiguratsioon”. Siiski peaks kasutajatel olema sisse logitud juurdepääs pistikprogrammile Advanced Custom Fields, et see käivitada, mis tähendab, et halb näitleja peaks vea käivitamiseks kedagi, kellel on juurdepääs, petma, lisasid teadlased.
CVE-2023-30777 vea leiate aadressilt admin_body_class funktsioonikäsitleja, millesse halb tegutseja võib pahatahtlikku koodi süstida. Eelkõige sisestab see viga valesti koostatud koodi DOM XSS-i kasulikke koormusi, mida koodi desinfitseerimisväljund ei taba, mis on teatud tüüpi turvameede, mis on osa veast.
Versiooni 6.1.6 parandus tutvustas admin_body_class konks, mis blokeerib XSS-i rünnaku teostamise.
Kasutajad Täpsemad kohandatud väljad ja Advanced Custom Fields Pro peaks uuendama pistikprogrammid versioonile 6.1.6 või uuemale. Paljud kasutajad on endiselt vastuvõtlikud rünnakutele, umbes 72,1% WordPress.org-i pistikprogrammi kasutajatest töötab versioone allpool 6.1. See muudab nende veebisaidid haavatavaks mitte ainult XSS-i rünnakute, vaid ka muude looduses esinevate vigade suhtes. ütles.
Toimetajate soovitused
- Häkkerid kasutavad pahavara käivitamiseks võltsitud WordPressi DDoS-i lehti
- Teie Lenovo sülearvutil võib olla tõsine turvaviga
Uuendage oma elustiiliDigitaalsed suundumused aitavad lugejatel hoida silma peal kiirel tehnikamaailmal kõigi viimaste uudiste, lõbusate tooteülevaadete, sisukate juhtkirjade ja ainulaadsete lühiülevaadetega.
