두 가지 결함 워드프레스 최근 보고서에 따르면 사용자 정의 플러그인은 사용자를 교차 사이트 스크립팅 공격(XSS)에 취약하게 만듭니다.
패치 스택 연구원 Rafie Muhammad는 최근에 다음에서 XSS 결함을 발견했습니다. 고급 사용자 정의 필드 그리고 고급 사용자 정의 필드 프로 에 따르면 전 세계적으로 2백만 명 이상의 사용자가 적극적으로 설치한 플러그인 블리핑 컴퓨터.
추천 동영상
CVE-2023-30777이라고 불리는 이 결함은 5월 2일에 발견되었으며 높은 심각도의 중요성을 부여받았습니다. 플러그인 개발자인 WP 엔진은 5월 4일 취약점에 대해 알게 된 지 며칠 만에 보안 업데이트 버전 6.1.6을 신속하게 제공했습니다.
관련된
- 이 Twitter 취약점은 버너 계정의 소유자를 드러냈을 수 있습니다.
- Tumblr는 사용자 데이터를 노출시킨 버그를 수정했다고 약속합니다.
인기있는 사용자 정의 필드 빌더 사용자가 WordPress 편집 화면, 사용자 정의 필드 데이터 및 기타 기능을 사용하여 백엔드에서 콘텐츠 관리 시스템을 완전히 제어할 수 있습니다.
그러나 XSS 버그는 정면에서 볼 수 있으며 "악성 스크립트"를 주입하여 작동합니다. 다른 사람이 본 웹사이트로 인해 방문자의 웹 브라우저에서 코드가 실행됩니다.” Bleeping 컴퓨터가 추가되었습니다.
이로 인해 웹 사이트 방문자는 감염된 WordPress 사이트에서 데이터를 도난당할 수 있다고 Patchstack은 지적했습니다.
XSS 취약점에 대한 세부 사항은 "고급 사용자 정의 필드 플러그인의 기본 설치 또는 구성"에 의해 트리거될 수 있음을 나타냅니다. 그러나 사용자는 연구원들은 Advanced Custom Fields 플러그인에 대한 로그인 액세스가 처음부터 이를 트리거하기 때문에 나쁜 행위자가 결함을 트리거하기 위해 액세스 권한이 있는 사람을 속여야 한다는 것을 의미한다고 덧붙였습니다.
CVE-2023-30777 결함은 다음에서 찾을 수 있습니다. admin_body_class 악의적인 행위자가 악성 코드를 주입할 수 있는 함수 처리기. 특히, 이 버그는 부적절하게 작성된 코드에 DOM XSS 페이로드를 주입하는데, 이는 결함의 일부인 일종의 보안 조치인 코드의 삭제 출력에 의해 포착되지 않습니다.
버전 6.1.6의 수정 사항은 다음을 도입했습니다. admin_body_class 후크, XSS 공격이 실행되는 것을 차단합니다.
사용자 고급 사용자 정의 필드 그리고 고급 사용자 정의 필드 프로 플러그인을 버전 6.1.6 이상으로 업그레이드해야 합니다. WordPress.org 플러그인 사용자의 약 72.1%가 실행 중인 버전을 가지고 있어 많은 사용자가 여전히 공격에 취약합니다. 6.1 이하. 이로 인해 그들의 웹 사이트는 XSS 공격뿐만 아니라 야생의 다른 결함에도 취약합니다. 말했다.
편집자 추천
- 해커는 가짜 WordPress DDoS 페이지를 사용하여 맬웨어를 시작합니다.
- Lenovo 노트북에 심각한 보안 결함이 있을 수 있습니다.
라이프스타일을 업그레이드하세요Digital Trends는 모든 최신 뉴스, 재미있는 제품 리뷰, 통찰력 있는 사설 및 독특한 미리보기를 통해 독자가 빠르게 변화하는 기술 세계를 파악할 수 있도록 도와줍니다.
