Cacat dalam dua WordPress plug-in khusus membuat pengguna rentan terhadap serangan skrip lintas situs (XSS), menurut laporan terbaru.
Peneliti patchstack Rafie Muhammad baru-baru ini menemukan cacat XSS di Bidang Kustom Tingkat Lanjut Dan Bidang Kustom Lanjutan Pro plug-in, yang dipasang secara aktif oleh lebih dari 2 juta pengguna di seluruh dunia, menurut Komputer Tidur.
Video yang Direkomendasikan
Cacat, yang disebut CVE-2023-30777 ditemukan pada 2 Mei dan diberi perhatian yang sangat serius. Pengembang plug-in, WP Engine, dengan cepat menyediakan pembaruan keamanan, versi 6.1.6, dalam beberapa hari setelah mempelajari kerentanan, pada 4 Mei.
Terkait
- Kerentanan Twitter ini mungkin telah mengungkap pemilik akun burner
- Tumblr berjanji akan memperbaiki bug yang membuat data pengguna terbuka
Yang populer pembuat bidang khusus memungkinkan pengguna untuk memiliki kontrol penuh atas sistem manajemen konten mereka dari ujung belakang, dengan layar edit WordPress, data bidang khusus, dan fitur lainnya.
Namun, bug XSS dapat dilihat dengan gaya menghadap ke depan dan bekerja dengan menyuntikkan "skrip berbahaya ke situs web dilihat oleh orang lain, menghasilkan eksekusi kode di browser web pengunjung, Bleeping Komputer ditambahkan.
Ini dapat membuat pengunjung situs web terbuka untuk data mereka dicuri dari situs WordPress yang terinfeksi, catat Patchstack.
Spesifik tentang kerentanan XSS menunjukkan bahwa itu mungkin dipicu oleh "instalasi default atau konfigurasi plug-in Bidang Kustom Tingkat Lanjut." Namun, pengguna harus memiliki masuk ke plug-in Advanced Custom Fields untuk memicunya sejak awal, yang berarti aktor jahat harus mengelabui seseorang dengan akses untuk memicu cacat, tambah para peneliti.
Cacat CVE-2023-30777 dapat ditemukan di admin_body_class penangan fungsi, di mana aktor jahat dapat menyuntikkan kode berbahaya. Secara khusus, bug ini menyuntikkan muatan DOM XSS ke dalam kode yang disusun secara tidak tepat, yang tidak ditangkap oleh keluaran sanitasi kode, semacam ukuran keamanan, yang merupakan bagian dari kelemahan.
Perbaikan pada versi 6.1.6 memperkenalkan kait admin_body_class, yang memblokir serangan XSS agar tidak dapat dieksekusi.
Pengguna dari Bidang Kustom Tingkat Lanjut Dan Bidang Kustom Lanjutan Pro harus memutakhirkan plug-in ke versi 6.1.6 atau yang lebih baru. Banyak pengguna tetap rentan terhadap serangan, dengan sekitar 72,1% pengguna plug-in WordPress.org menjalankan versinya di bawah 6.1. Ini membuat situs web mereka rentan tidak hanya terhadap serangan XSS tetapi juga terhadap kelemahan lain di alam liar, yaitu publikasi dikatakan.
Rekomendasi Editor
- Peretas menggunakan halaman DDoS WordPress palsu untuk meluncurkan malware
- Laptop Lenovo Anda mungkin memiliki kelemahan keamanan yang serius
Tingkatkan gaya hidup AndaTren Digital membantu pembaca mengawasi dunia teknologi yang bergerak cepat dengan semua berita terbaru, ulasan produk yang menyenangkan, editorial yang berwawasan, dan cuplikan unik.
