Defektas dviejuose WordPress Remiantis naujausia ataskaita, pasirinktiniai papildiniai palieka vartotojus pažeidžiamus tarp svetainių scenarijų atakų (XSS).
Patchstack tyrinėtojas Rafie Muhammadas neseniai atrado XSS trūkumą Išplėstiniai pasirinktiniai laukai ir Advanced Custom Fields Pro papildinių, kuriuos visame pasaulyje aktyviai diegia daugiau nei 2 mln Blyksnis kompiuteris.
Rekomenduojami vaizdo įrašai
Defektas, vadinamas CVE-2023-30777, buvo aptiktas gegužės 2 d. ir jam buvo suteiktas didelis dėmesys. Papildinių kūrėjas WP Engine greitai pateikė 6.1.6 versijos saugos naujinimą per kelias dienas po to, kai sužinojo apie pažeidžiamumą, gegužės 4 d.
Susijęs
- Šis „Twitter“ pažeidžiamumas galėjo atskleisti degiklio paskyrų savininkus
- „Tumblr“ žada ištaisyti klaidą, dėl kurios buvo atskleisti vartotojo duomenys
Populiarieji lauko statybininkai pagal užsakymą leidžia vartotojams visiškai valdyti savo turinio valdymo sistemą iš galinės dalies, naudojant „WordPress“ redagavimo ekranus, pasirinktinius lauko duomenis ir kitas funkcijas.
Tačiau XSS klaidos gali būti matomos iš priekio ir veikia įvedant „kenkėjiškus scenarijus kitų peržiūrėtos svetainės, dėl kurių lankytojo žiniatinklio naršyklėje vykdomas kodas“, – sakė Bleeping Pridėtas kompiuteris.
Tai gali palikti svetainės lankytojams galimybę pavogti jų duomenis iš užkrėstų „WordPress“ svetainių, pažymėjo Patchstack.
XSS pažeidžiamumo specifika rodo, kad jį gali suaktyvinti „numatytasis išplėstinių tinkintų laukų papildinio įdiegimas arba konfigūracija“. Tačiau vartotojai turėtų turėti tyrėjai pridūrė, kad prisijungus prie papildinio „Advanced Custom Fields“, kad jis suaktyvintų, o tai reiškia, kad blogas aktorius turėtų apgauti ką nors, turintį prieigą, kad sukeltų trūkumą.
CVE-2023-30777 trūkumą galima rasti admin_body_class funkcijų tvarkytuvas, kuriame blogas veikėjas gali įterpti kenkėjišką kodą. Visų pirma, ši klaida įterpia DOM XSS naudingąsias apkrovas į netinkamai parengtą kodą, kurio nepagauna kodo valymo išvestis, tam tikra saugumo priemonė, kuri yra trūkumo dalis.
6.1.6 versijos pataisymas pristatė admin_body_class kabliukas, kuris blokuoja XSS atakos įvykdymą.
Vartotojai Išplėstiniai pasirinktiniai laukai ir Advanced Custom Fields Pro turėtų atnaujinti papildinius į 6.1.6 ar naujesnę versiją. Daugelis vartotojų tebėra jautrūs atakoms, o maždaug 72,1 % WordPress.org papildinio naudotojų veikia versijos žemiau 6.1. Tai daro jų svetaines pažeidžiamas ne tik XSS atakų, bet ir kitų laukinių trūkumų, skelbia leidinys. sakė.
Redaktorių rekomendacijos
- Įsilaužėliai naudoja netikrus „WordPress DDoS“ puslapius, kad paleistų kenkėjiškas programas
- Jūsų „Lenovo“ nešiojamas kompiuteris gali turėti rimtų saugos trūkumų
Atnaujinkite savo gyvenimo būdąSkaitmeninės tendencijos padeda skaitytojams stebėti sparčiai besivystantį technologijų pasaulį – pateikiamos visos naujausios naujienos, smagios produktų apžvalgos, įžvalgūs vedamieji leidiniai ir unikalūs žvilgsniai.
