Un difetto in due wordpress i plug-in personalizzati lasciano gli utenti vulnerabili agli attacchi di scripting cross-site (XSS), secondo un recente rapporto.
Ricercatore patchstack Rafie Muhammad ha recentemente scoperto un difetto XSS nel file Campi personalizzati avanzati E Campi personalizzati avanzati Pro plug-in, che sono installati attivamente da oltre 2 milioni di utenti in tutto il mondo, secondo Computer che suona.
Video consigliati
Il difetto, chiamato CVE-2023-30777, è stato scoperto il 2 maggio e gli è stata attribuita un'elevata gravità. Lo sviluppatore del plug-in, WP Engine, ha fornito rapidamente un aggiornamento di sicurezza, versione 6.1.6, pochi giorni dopo aver appreso della vulnerabilità, il 4 maggio.
Imparentato
- Questa vulnerabilità di Twitter potrebbe aver rivelato i proprietari degli account dei masterizzatori
- Tumblr promette di aver risolto un bug che lasciava esposti i dati degli utenti
Il popolare costruttori di campi personalizzati consentire agli utenti di avere il pieno controllo del proprio sistema di gestione dei contenuti dal back-end, con schermate di modifica di WordPress, dati di campo personalizzati e altre funzionalità.
Tuttavia, i bug XSS possono essere visti in modo frontale e funzionano iniettando "script dannosi su siti Web visualizzati da altri, con conseguente esecuzione di codice sul browser Web del visitatore", Bleeping Computer aggiunto.
Ciò potrebbe lasciare i visitatori del sito Web esposti al furto dei propri dati da siti WordPress infetti, ha osservato Patchstack.
Le specifiche sulla vulnerabilità XSS indicano che potrebbe essere attivata da una "installazione o configurazione predefinita del plug-in Advanced Custom Fields". Tuttavia, gli utenti dovrebbero avere l'accesso registrato al plug-in Advanced Custom Fields per attivarlo in primo luogo, il che significa che un cattivo attore dovrebbe ingannare qualcuno con accesso per attivare il difetto, hanno aggiunto i ricercatori.
Il difetto CVE-2023-30777 può essere trovato nel file admin_body_class gestore di funzioni, in cui un cattivo attore può iniettare codice dannoso. In particolare, questo bug inietta payload DOM XSS nel codice redatto in modo improprio, che non viene rilevato dall'output di sanificazione del codice, una sorta di misura di sicurezza, che fa parte del difetto.
La correzione nella versione 6.1.6 ha introdotto il file gancio admin_body_class, che impedisce l'esecuzione dell'attacco XSS.
Utenti di Campi personalizzati avanzati E Campi personalizzati avanzati Pro dovrebbe aggiornare i plug-in alla versione 6.1.6 o successiva. Molti utenti rimangono suscettibili agli attacchi, con circa il 72,1% degli utenti di plug-in di WordPress.org che hanno versioni in esecuzione sotto 6.1. Ciò rende i loro siti Web vulnerabili non solo agli attacchi XSS ma anche ad altri difetti in natura, la pubblicazione disse.
Raccomandazioni della redazione
- Gli hacker utilizzano false pagine DDoS di WordPress per lanciare malware
- Il tuo laptop Lenovo potrebbe presentare un grave difetto di sicurezza
Migliora il tuo stile di vitaDigital Trends aiuta i lettori a tenere d'occhio il frenetico mondo della tecnologia con tutte le ultime notizie, recensioni divertenti sui prodotti, editoriali penetranti e anticipazioni uniche.
