Mana u dva WordPress prilagođenih dodataka ostavlja korisnike ranjivima na cross-site scripting napade (XSS), prema nedavnom izvješću.
Patchstack istraživač Rafie Muhammad je nedavno otkrio XSS grešku u Napredna prilagođena polja i Napredna prilagođena polja Pro dodataka, koje aktivno instalira više od 2 milijuna korisnika diljem svijeta, prema Blještavo računalo.
Preporučeni videozapisi
Greška, nazvana CVE-2023-30777, otkrivena je 2. svibnja i dobila je visoku važnost. Programer dodataka, WP Engine, brzo je osigurao sigurnosno ažuriranje, verzija 6.1.6, u roku od nekoliko dana nakon saznanja o ranjivosti, 4. svibnja.
Povezano
- Ova ranjivost na Twitteru možda je otkrila vlasnike računa za snimanje
- Tumblr obećava da je popravio grešku zbog koje su korisnički podaci bili izloženi
Popularni custom field builders omogućuju korisnicima da imaju potpunu kontrolu nad svojim sustavom za upravljanje sadržajem sa stražnje strane, s WordPress ekranima za uređivanje, prilagođenim podacima polja i drugim značajkama.
Međutim, pogreške XSS-a mogu se vidjeti s prednje strane i rade ubacivanjem "zlonamjernih skripti na web stranice koje su pregledavali drugi, što je rezultiralo izvršavanjem koda na web pregledniku posjetitelja,” Bleeping Dodano računalo.
To bi moglo ostaviti posjetitelje web stranica otvorenima za krađu njihovih podataka sa zaraženih WordPress stranica, primijetio je Patchstack.
Specifičnosti XSS ranjivosti pokazuju da je može pokrenuti "zadana instalacija ili konfiguracija dodatka Advanced Custom Fields." Međutim, korisnici bi morali imati prijavljeni pristup dodatku Advanced Custom Fields kako bi ga uopće pokrenuo, što znači da bi loš glumac morao prevariti nekoga s pristupom kako bi pokrenuo grešku, dodali su istraživači.
Greška CVE-2023-30777 može se pronaći u admin_body_class rukovatelj funkcijom, u koji loš akter može ubaciti zlonamjerni kod. Konkretno, ova pogreška ubacuje DOM XSS korisni teret u neispravno sastavljen kod, koji nije uhvaćen izlazom dezinfekcije koda, svojevrsnom sigurnosnom mjerom, koja je dio greške.
Popravak na verziji 6.1.6 uveo je kuka admin_body_class, koji blokira XSS napad da se ne može izvršiti.
Korisnici od Napredna prilagođena polja i Napredna prilagođena polja Pro treba nadograditi dodatke na verziju 6.1.6 ili noviju. Mnogi korisnici i dalje su podložni napadima, a približno 72,1% korisnika dodatka WordPress.org ima pokrenute verzije ispod 6.1. Zbog toga su njihove web stranice ranjive ne samo na XSS napade, već i na druge nedostatke u divljini, publikacija rekao je.
Preporuke urednika
- Hakeri koriste lažne WordPress DDoS stranice za pokretanje zlonamjernog softvera
- Vaše prijenosno računalo Lenovo možda ima ozbiljan sigurnosni propust
Nadogradite svoj životni stilDigitalni trendovi pomažu čitateljima da prate brzi svijet tehnologije sa svim najnovijim vijestima, zabavnim recenzijama proizvoda, pronicljivim uvodnicima i jedinstvenim brzim pregledima.
