פגם בשניים וורדפרס תוספים מותאמים אישית משאירים את המשתמשים חשופים להתקפות סקריפטים בין-אתרים (XSS), על פי דוח שנערך לאחרונה.
חוקר Patchstack רפי מוחמד גילה לאחרונה פגם ב-XSS ב- שדות מותאמים אישית מתקדמים ו Advanced Custom Fields Pro תוספים, אשר מותקנים באופן פעיל על ידי למעלה מ-2 מיליון משתמשים ברחבי העולם, לפי מחשב מצמרר.
סרטונים מומלצים
הפגם, שנקרא CVE-2023-30777 התגלה ב-2 במאי וקיבל בולטות בחומרה גבוהה. מפתח התוספים, WP Engine, סיפק במהירות עדכון אבטחה, גרסה 6.1.6, תוך ימים לאחר שנודע על הפגיעות, ב-4 במאי.
קָשׁוּר
- ייתכן שפגיעות טוויטר זו חשפה בעלי חשבונות מבערים
- Tumblr מבטיח שתיקן באג שהשאיר את נתוני המשתמש חשופים
הפופולרי בוני שדות מותאמים אישית לאפשר למשתמשים לקבל שליטה מלאה על מערכת ניהול התוכן שלהם מהחלק האחורי, עם מסכי עריכה של וורדפרס, נתוני שדות מותאמים אישית ותכונות אחרות.
עם זאת, ניתן לראות באגים XSS בצורה חזיתית ולעבוד על ידי הזרקת "סקריפטים זדוניים על אתרי אינטרנט שנצפו על ידי אחרים, וכתוצאה מכך ביצוע קוד בדפדפן האינטרנט של המבקר", Bleeping מחשב נוסף.
הדבר עלול להשאיר את המבקרים באתר פתוחים לגניבת הנתונים שלהם מאתרי וורדפרס נגועים, ציין Patchstack.
פרטים ספציפיים על פגיעות XSS מצביעים על כך שהיא עשויה להיות מופעלת על ידי "התקנה או תצורה של ברירת המחדל של הפלאגין Advanced Custom Fields." עם זאת, המשתמשים יצטרכו לקבל גישה מחוברת לפלאגין Advanced Custom Fields כדי להפעיל אותו מלכתחילה, כלומר שחקן גרוע יצטרך להערים על מישהו עם גישה כדי להפעיל את הפגם, הוסיפו החוקרים.
ניתן למצוא את הפגם CVE-2023-30777 ב admin_body_class מטפל בפונקציות, שבו שחקן גרוע יכול להחדיר קוד זדוני. בפרט, הבאג הזה מחדיר עומסי DOM XSS לקוד שנוסח בצורה לא נכונה, שאינו נתפס על ידי פלט החיטוי של הקוד, אמצעי אבטחה מסוגים שהוא חלק מהפגם.
התיקון בגרסה 6.1.6 הציג את הוק של admin_body_class, מה שחוסם את יכולת הביצוע של מתקפת XSS.
משתמשים של שדות מותאמים אישית מתקדמים ו Advanced Custom Fields Pro צריך לשדרג את התוספים לגרסה 6.1.6 ואילך. משתמשים רבים נותרו רגישים להתקפות, כאשר לכ-72.1% ממשתמשי הפלאגין של WordPress.org יש גרסאות הפועלות מתחת ל-6.1. זה הופך את האתרים שלהם לפגיעים לא רק להתקפות XSS אלא גם לפגמים אחרים בטבע, הפרסום אמר.
המלצות עורכים
- האקרים משתמשים בדפי וורדפרס מזויפים DDoS כדי להשיק תוכנות זדוניות
- המחשב הנייד של Lenovo עשוי להיות בעל ליקוי אבטחה חמור
שדרג את אורח החיים שלךמגמות דיגיטליות עוזרות לקוראים לעקוב אחר עולם הטכנולוגיה המהיר עם כל החדשות האחרונות, ביקורות מהנות על מוצרים, מאמרי מערכת מעוררי תובנות והצצות מיוחדות במינן.
