Un défaut sur deux Wordpress les plug-ins personnalisés rendent les utilisateurs vulnérables aux attaques de script intersite (XSS), selon un rapport récent.
Chercheur Patchstack Rafie Muhammad a récemment découvert une faille XSS dans le Champs personnalisés avancés et Champs personnalisés avancés Pro plug-ins, qui sont activement installés par plus de 2 millions d'utilisateurs dans le monde, selon Ordinateur qui bipe.
Vidéos recommandées
La faille, appelée CVE-2023-30777, a été découverte le 2 mai et a reçu une importance élevée. Le développeur des plug-ins, WP Engine, a rapidement fourni une mise à jour de sécurité, la version 6.1.6, quelques jours après avoir pris connaissance de la vulnérabilité, le 4 mai.
En rapport
- Cette vulnérabilité Twitter a peut-être révélé les propriétaires de comptes de brûleur
- Tumblr promet d'avoir corrigé un bogue qui laissait les données des utilisateurs exposées
La populaire générateurs de champs personnalisés permettent aux utilisateurs d'avoir le contrôle total de leur système de gestion de contenu depuis le back-end, avec des écrans d'édition WordPress, des données de champ personnalisées et d'autres fonctionnalités.
Cependant, les bogues XSS peuvent être vus de manière frontale et fonctionnent en injectant des "scripts malveillants sur sites Web consultés par d'autres, entraînant l'exécution de code sur le navigateur Web du visiteur », Bleeping Ordinateur ajouté.
Cela pourrait laisser les visiteurs du site Web ouverts au vol de leurs données sur des sites WordPress infectés, a noté Patchstack.
Les spécificités de la vulnérabilité XSS indiquent qu'elle pourrait être déclenchée par une "installation ou configuration par défaut du plug-in Advanced Custom Fields". Cependant, les utilisateurs devraient avoir un accès connecté au plug-in Advanced Custom Fields pour le déclencher en premier lieu, ce qui signifie qu'un mauvais acteur devrait tromper quelqu'un ayant accès pour déclencher la faille, ont ajouté les chercheurs.
La faille CVE-2023-30777 se trouve dans le admin_body_class gestionnaire de fonctions, dans lequel un acteur malveillant peut injecter du code malveillant. En particulier, ce bogue injecte des charges utiles DOM XSS dans le code mal rédigé, qui n'est pas capturé par la sortie de nettoyage du code, une sorte de mesure de sécurité, qui fait partie de la faille.
Le correctif de la version 6.1.6 a introduit le crochet admin_body_class, qui empêche l'attaque XSS de pouvoir s'exécuter.
Les utilisateurs de Champs personnalisés avancés et Champs personnalisés avancés Pro devez mettre à niveau les plug-ins vers la version 6.1.6 ou ultérieure. De nombreux utilisateurs restent vulnérables aux attaques, avec environ 72,1 % des utilisateurs du plug-in WordPress.org ayant des versions en cours d'exécution. en dessous de 6.1. Cela rend leurs sites Web vulnérables non seulement aux attaques XSS, mais également à d'autres failles dans la nature, la publication a dit.
Recommandations des éditeurs
- Les pirates utilisent de fausses pages WordPress DDoS pour lancer des logiciels malveillants
- Votre ordinateur portable Lenovo peut avoir une grave faille de sécurité
Améliorez votre style de vieDigital Trends aide les lecteurs à garder un œil sur le monde trépidant de la technologie avec toutes les dernières nouvelles, des critiques de produits amusantes, des éditoriaux perspicaces et des aperçus uniques.
