Hiba a kettőben WordPress Egy friss jelentés szerint az egyéni beépülő modulok sebezhetővé teszik a felhasználókat a cross-site scripting támadásokkal (XSS) szemben.
Patchstack kutató Rafie Muhammad nemrégiben XSS-hibát fedezett fel a Speciális egyéni mezők és Advanced Custom Fields Pro beépülő modulok, amelyeket világszerte több mint 2 millió felhasználó telepít aktívan Csipogó számítógép.
Ajánlott videók
A CVE-2023-30777 nevű hibát május 2-án fedezték fel, és nagy hangsúlyt kapott. A beépülő modulok fejlesztője, a WP Engine gyorsan, a sérülékenységről való tudomásszerzést követő napon belül, május 4-én egy 6.1.6-os biztonsági frissítést adott.
Összefüggő
- Ez a Twitter biztonsági rése felfedhette az írófiókok tulajdonosait
- A Tumblr azt ígéri, hogy javított egy hibát, amely a felhasználói adatokat nyilvánosságra hozta
A népszerű egyedi terepépítők lehetővé teszi a felhasználók számára, hogy a WordPress szerkesztőképernyőivel, egyéni mezőivel és egyéb funkciókkal teljes mértékben irányítsák tartalomkezelő rendszerüket a háttérből.
Az XSS hibák azonban elölnézetben láthatók, és úgy működnek, hogy „rosszindulatú szkripteket szúrnak be mások által megtekintett webhelyek, amelyek kód futtatását eredményezik a látogató webböngészőjében." Bleeping Számítógép hozzáadva.
Ez nyitottá teheti a webhely látogatóit arra, hogy adataikat ellopják a fertőzött WordPress webhelyekről, jegyezte meg Patchstack.
Az XSS sebezhetőség részletei azt mutatják, hogy a „az Advanced Custom Fields beépülő modul alapértelmezett telepítése vagy konfigurációja” válthatja ki. A felhasználóknak azonban rendelkezniük kell A kutatók hozzátették, hogy az Advanced Custom Fields beépülő modulhoz bejelentkezve kell hozzáférni az Advanced Custom Fields beépülő modulhoz, hogy kiváltsa azt, ami azt jelenti, hogy egy rossz színésznek be kell csalnia valakit, aki hozzáféréssel rendelkezik a hiba előidézéséhez.
A CVE-2023-30777 hiba megtalálható a admin_body_class függvénykezelő, amelybe egy rossz szereplő rosszindulatú kódot fecskendezhet be. Ez a hiba különösen a DOM XSS hasznos terheket injektálja a helytelenül megszerkesztett kódba, amelyet nem kap el a kód fertőtlenítő kimenete, ami egyfajta biztonsági intézkedés, ami a hiba része.
A 6.1.6-os verzió javítása bevezette a admin_body_class hook, amely megakadályozza az XSS támadás végrehajtását.
Felhasználói Speciális egyéni mezők és Advanced Custom Fields Pro frissítenie kell a beépülő modulokat a 6.1.6-os vagy újabb verzióra. Sok felhasználó továbbra is ki van téve a támadásoknak, a WordPress.org beépülő modult használók körülbelül 72,1%-ánál fut verzió alatt 6.1. Ez nem csak az XSS-támadásokkal szemben teszi sebezhetővé weboldalaikat, hanem a vadonban előforduló egyéb hibákkal szemben is. mondott.
Szerkesztői ajánlások
- A hackerek hamis WordPress DDoS-oldalakat használnak rosszindulatú programok indítására
- Lehet, hogy Lenovo laptopjának komoly biztonsági hibája van
Frissítse életmódjátA Digital Trends segítségével az olvasók nyomon követhetik a technológia rohanó világát a legfrissebb hírekkel, szórakoztató termékismertetőkkel, éleslátó szerkesztőségekkel és egyedülálló betekintésekkel.
