Vika kahdessa WordPress Tuoreen raportin mukaan mukautetut laajennukset jättävät käyttäjät alttiiksi cross-site scripting hyökkäyksille (XSS).
Patchstack-tutkija Rafie Muhammad löysi äskettäin XSS-virheen Lisäasetukset mukautetut kentät ja Advanced Custom Fields Pro laajennuksia, joita aktiivisesti asentaa yli 2 miljoonaa käyttäjää maailmanlaajuisesti Piikuva tietokone.
Suositellut videot
Virhe, nimeltään CVE-2023-30777, löydettiin 2. toukokuuta ja sille annettiin erittäin vakava näkyvyys. Laajennusten kehittäjä WP Engine toimitti nopeasti tietoturvapäivityksen version 6.1.6 muutamassa päivässä haavoittuvuuden tiedostamisesta 4. toukokuuta.
Liittyvät
- Tämä Twitterin haavoittuvuus on saattanut paljastaa polttotilien omistajat
- Tumblr lupaa korjata virheen, joka jätti käyttäjätiedot näkyviin
Suosittu räätälöityjä kenttärakentajia antavat käyttäjille mahdollisuuden hallita sisällönhallintajärjestelmäänsä täysin taustapuolelta WordPress-muokkausnäyttöjen, mukautettujen kenttätietojen ja muiden ominaisuuksien avulla.
XSS-virheet voidaan kuitenkin nähdä eteen päin ja ne toimivat ruiskuttamalla "haitallisia skriptejä muiden katselemat verkkosivustot, jotka johtavat koodin suorittamiseen vierailijan verkkoselaimessa", Bleeping Tietokone lisätty.
Tämä saattaa jättää verkkosivustojen vierailijat avoimeksi tietonsa varastamiselle tartunnan saaneilta WordPress-sivustoilta, Patchstack huomautti.
XSS-haavoittuvuuden yksityiskohdat viittaavat siihen, että sen voi laukaista "Advanced Custom Fields -laajennuksen oletusasennus tai -määritys". Käyttäjillä olisi kuitenkin oltava kirjautuneena Advanced Custom Fields -laajennukseen käynnistääkseen sen alun perin, mikä tarkoittaa, että huonon näyttelijän on huijattava joku, jolla on pääsy, käynnistääkseen virheen, tutkijat lisäsivät.
CVE-2023-30777-virhe löytyy admin_body_class toimintokäsittelijä, johon huono toimija voi syöttää haitallista koodia. Tämä bugi lisää erityisesti DOM XSS -hyötykuormia väärin laadittuun koodiin, jota koodin desinfiointitulos ei havaitse, mikä on eräänlainen turvatoimenpide, joka on osa virhettä.
Version 6.1.6 korjaus esitteli admin_body_class koukku, joka estää XSS-hyökkäyksen suorittamisen.
Käyttäjät Lisäasetukset mukautetut kentät ja Advanced Custom Fields Pro pitäisi päivittää laajennukset versioon 6.1.6 tai uudempaan. Monet käyttäjät ovat edelleen alttiina hyökkäyksille, ja noin 72,1 %:lla WordPress.org-laajennusten käyttäjistä on käynnissä versio. alle 6.1. Tämä tekee heidän verkkosivustoistaan haavoittuvia paitsi XSS-hyökkäyksille myös muille luonnossa oleville puutteille, julkaisu sanoi.
Toimittajien suositukset
- Hakkerit käyttävät väärennettyjä WordPress DDoS -sivuja haittaohjelmien käynnistämiseen
- Lenovo-kannettavassasi saattaa olla vakava tietoturvavirhe
Päivitä elämäntapasiDigital Trends auttaa lukijoita pysymään tekniikan nopeatempoisessa maailmassa uusimpien uutisten, hauskojen tuotearvostelujen, oivaltavien toimitusten ja ainutlaatuisten kurkistusten avulla.