2つの欠陥 ワードプレス 最近のレポートによると、カスタム プラグインを使用すると、ユーザーはクロスサイト スクリプティング攻撃 (XSS) に対して脆弱になります。
パッチスタック研究者 Rafie Muhammad は最近、XSS の欠陥を発見しました。 高度なカスタムフィールド と アドバンストカスタムフィールドプロ によると、世界中の 200 万人を超えるユーザーが積極的にインストールしているプラグイン ピーピーコンピュータ.
おすすめ動画
CVE-2023-30777 と呼ばれるこの欠陥は 5 月 2 日に発見され、重大度が高く評価されました。 プラグインの開発者である WP Engine は、この脆弱性を知ってから数日以内に、5 月 4 日にセキュリティ アップデート バージョン 6.1.6 を迅速に提供しました。
関連している
- この Twitter の脆弱性により、バーナー アカウントの所有者が明らかになった可能性があります
- Tumblrは、ユーザーデータが公開されたままになっていたバグを修正すると約束
人気の カスタムフィールドビルダー ユーザーは、WordPress 編集画面、カスタム フィールド データ、その他の機能を使用して、バックエンドからコンテンツ管理システムを完全に制御できるようになります。
ただし、XSS のバグは正面から見ることができ、「悪意のあるスクリプト」を注入することで機能します。 他の人が閲覧した Web サイトが表示され、その結果、訪問者の Web ブラウザ上でコードが実行されることになります。」 コンピューターが追加されました。
これにより、Web サイト訪問者は感染した WordPress サイトからデータを盗まれる危険にさらされる可能性があると Patchstack は指摘しました。
XSS 脆弱性の詳細は、「Advanced Custom Fields プラグインのデフォルトのインストールまたは構成」によって引き起こされる可能性があることを示しています。 ただし、ユーザーは次のことを行う必要があります。 そもそもこの脆弱性を引き起こすには、Advanced Custom Fields プラグインへのログイン アクセスが必要となるため、悪意のある攻撃者はアクセス権を持つ誰かを騙して欠陥を引き起こす必要がある、と研究者らは付け加えた。
CVE-2023-30777 の欠陥は次の場所にあります。 admin_body_class 関数ハンドラー。悪意のある者が悪意のあるコードを挿入する可能性があります。 特に、このバグは、不適切に作成されたコードに DOM XSS ペイロードを挿入しますが、これは、欠陥の一部である、ある種のセキュリティ対策であるコードのサニタイズ出力では検出されません。
バージョン 6.1.6 の修正により、 admin_body_class フック、 これにより、XSS 攻撃の実行がブロックされます。
のユーザー 高度なカスタムフィールド と アドバンストカスタムフィールドプロ プラグインをバージョン 6.1.6 以降にアップグレードする必要があります。 多くのユーザーが依然として攻撃を受けやすく、WordPress.org プラグイン ユーザーの約 72.1% が実行中のバージョンを持っています。 6.1未満。 これにより、Web サイトは XSS 攻撃だけでなく、一般的な他の欠陥に対しても脆弱になると、この出版物は述べています。 言った。
編集者のおすすめ
- ハッカーは偽の WordPress DDoS ページを使用してマルウェアを起動しています
- Lenovo ノートパソコンには重大なセキュリティ上の欠陥がある可能性があります
ライフスタイルをアップグレードするDigital Trends は、読者が最新ニュース、楽しい製品レビュー、洞察力に富んだ社説、ユニークなスニーク ピークをすべて提供して、ペースの速いテクノロジーの世界を監視するのに役立ちます。
