ნაკლი ორში WordPress მორგებული დანამატები მომხმარებლებს დაუცველს ტოვებს საიტის სკრიპტირების შეტევების (XSS) მიმართ, ბოლო მოხსენების თანახმად.
Patchstack-ის მკვლევარი რაფი მუჰამედმა ახლახან აღმოაჩინა XSS-ის ხარვეზი გაფართოებული მორგებული ველები და Advanced Custom Fields Pro დანამატები, რომლებიც აქტიურად ინსტალირებულია 2 მილიონზე მეტი მომხმარებლის მიერ მთელ მსოფლიოში, შესაბამისად ბლეპინგ კომპიუტერი.
რეკომენდებული ვიდეოები
ხარვეზი, სახელწოდებით CVE-2023-30777, აღმოაჩინეს 2 მაისს და მიენიჭა მაღალი სიმძიმის მნიშვნელობა. დანამატის შემქმნელმა, WP Engine-მა, სწრაფად უზრუნველყო უსაფრთხოების განახლება, ვერსია 6.1.6, დაუცველობის შესახებ შესწავლიდან რამდენიმე დღეში, 4 მაისს.
დაკავშირებული
- Twitter-ის ამ დაუცველობამ შესაძლოა გამოავლინა დამწვრობის ანგარიშების მფლობელები
- Tumblr ჰპირდება, რომ გამოასწორებს შეცდომას, რამაც მომხმარებლის მონაცემები გამოაშკარავდა
პოპულარული საბაჟო ველის შემქმნელები მომხმარებლებს მიეცით საშუალება ჰქონდეთ სრული კონტროლი კონტენტის მართვის სისტემაზე უკანა ბოლოდან, WordPress-ის რედაქტირების ეკრანებით, მორგებული ველის მონაცემებით და სხვა ფუნქციებით.
თუმცა, XSS შეცდომების დანახვა შესაძლებელია წინა მხარეს და მუშაობენ „მავნე სკრიპტების“ ინექციით. სხვების მიერ ნანახი ვებსაიტები, რის შედეგადაც ხდება კოდის შესრულება ვიზიტორის ვებ ბრაუზერზე,” Bleeping დამატებულია კომპიუტერი.
ამან შეიძლება დატოვოს ვებსაიტის ვიზიტორები, რომ მათი მონაცემები მოიპარონ ინფიცირებული WordPress საიტებიდან, აღნიშნა Patchstack-მა.
XSS დაუცველობის შესახებ სპეციფიკაციები მიუთითებს იმაზე, რომ ის შეიძლება გამოწვეული იყოს „Advanced Custom Fields დანამატის ნაგულისხმევი ინსტალაციის ან კონფიგურაციის შედეგად“. თუმცა, მომხმარებლებს უნდა ჰქონდეთ შესული წვდომა Advanced Custom Fields plug-in-ზე, რათა თავიდან აიცილოს იგი, რაც იმას ნიშნავს, რომ ცუდმა მსახიობმა უნდა მოატყუოს ვინმე, ვისაც წვდომა აქვს, რათა გამოიწვიოს ხარვეზი, დასძინეს მკვლევარებმა.
CVE-2023-30777 ხარვეზი გვხვდება admin_body_class ფუნქციის დამმუშავებელი, რომელშიც ცუდ მსახიობს შეუძლია მავნე კოდის შეყვანა. კერძოდ, ეს ხარვეზი შეჰყავს DOM XSS დატვირთვას არასწორად შედგენილ კოდში, რომელიც არ არის დაფიქსირებული კოდის სანიტარული გამომავალი, უსაფრთხოების ერთგვარი ზომა, რაც ხარვეზის ნაწილია.
შესწორება 6.1.6 ვერსიაზე გააცნო admin_body_class hook, რომელიც ბლოკავს XSS შეტევის განხორციელებას.
მომხმარებლები გაფართოებული მორგებული ველები და Advanced Custom Fields Pro უნდა განაახლოთ დანამატები 6.1.6 ან უფრო ახალ ვერსიამდე. ბევრი მომხმარებელი რჩება თავდასხმისადმი მიდრეკილი, WordPress.org დანამატის მომხმარებელთა დაახლოებით 72.1%-ს აქვს ვერსიები გაშვებული. ქვემოთ 6.1. ეს მათ ვებსაიტებს დაუცველს ხდის არა მხოლოდ XSS შეტევების, არამედ ველური ბუნების სხვა ხარვეზების მიმართ. განაცხადა.
რედაქტორების რეკომენდაციები
- ჰაკერები იყენებენ ყალბ WordPress DDoS გვერდებს მავნე პროგრამების გასაშვებად
- თქვენს Lenovo ლეპტოპს შეიძლება ჰქონდეს უსაფრთხოების სერიოზული ხარვეზი
განაახლეთ თქვენი ცხოვრების წესიDigital Trends ეხმარება მკითხველს თვალყური ადევნონ ტექნოლოგიების სწრაფ სამყაროს ყველა უახლესი სიახლეებით, სახალისო პროდუქტების მიმოხილვებით, გამჭრიახი რედაქციებითა და უნიკალური თვალით.
