Jauna WordPress kļūda, iespējams, ir atstājusi neaizsargātas 2 miljonus vietņu

Defekts divos WordPress Saskaņā ar jaunāko ziņojumu pielāgotie spraudņi padara lietotājus neaizsargātus pret starpvietņu skriptu uzbrukumiem (XSS).

Patchstack pētnieks Rafijs Muhameds nesen atklāja XSS trūkumu Papildu pielāgotie lauki un Advanced Custom Fields Pro spraudņi, kurus saskaņā ar datiem visā pasaulē aktīvi instalē vairāk nekā 2 miljoni lietotāju Pīkstošs dators.

Ieteiktie videoklipi

Trūkums ar nosaukumu CVE-2023-30777 tika atklāts 2. maijā, un tam tika piešķirta liela nozīme. Spraudņu izstrādātājs WP Engine ātri nodrošināja drošības atjauninājumu, versiju 6.1.6, dažu dienu laikā pēc tam, kad uzzināja par ievainojamību 4. maijā.

Saistīts

  • Šī Twitter ievainojamība, iespējams, ir atklājusi dedzinātāju kontu īpašniekus
  • Tumblr sola, ka tas ir izlabojis kļūdu, kas atstāja atklātus lietotāja datus

Populārais pasūtījuma lauku celtnieki ļauj lietotājiem pilnībā kontrolēt savu satura pārvaldības sistēmu no aizmugures, izmantojot WordPress rediģēšanas ekrānus, pielāgotus lauka datus un citas funkcijas.

Tomēr XSS kļūdas var pamanīt uz priekšu, un tās darbojas, ievadot “ļaunprātīgus skriptus vietnes, ko skatās citi, kā rezultātā apmeklētāja tīmekļa pārlūkprogrammā tiek izpildīts kods, "Bleeping Pievienots dators.

Tādējādi vietnes apmeklētāji varētu tikt nozagti no inficētām WordPress vietnēm, atzīmēja Patchstack.

Specifikācijas par XSS ievainojamību norāda, ka to var izraisīt “Papildu pielāgoto lauku spraudņa noklusējuma instalēšana vai konfigurācija”. Tomēr lietotājiem būtu jābūt Pētnieki piebilda, ka ir pieteikusies piekļuve Advanced Custom Fields spraudnim, lai to vispirms aktivizētu, kas nozīmē, ka sliktam aktierim būtu jāpiemānās kāds, kam ir piekļuve.

CVE-2023-30777 trūkums ir atrodams admin_body_class funkciju apstrādātājs, kurā slikts dalībnieks var ievadīt ļaunprātīgu kodu. Konkrēti, šī kļūda ievada DOM XSS lietderīgās slodzes nepareizi izstrādātajā kodā, ko neuztver koda dezinficēšanas izvade, kas ir sava veida drošības pasākums, kas ir daļa no defekta.

Versijas 6.1.6 labojums ieviesa admin_body_class āķis, kas bloķē XSS uzbrukuma izpildi.

Lietotāji Papildu pielāgotie lauki un Advanced Custom Fields Pro vajadzētu jaunināt spraudņus uz versiju 6.1.6 vai jaunāku. Daudzi lietotāji joprojām ir uzņēmīgi pret uzbrukumiem, un aptuveni 72,1% WordPress.org spraudņa lietotāju darbojas versijas. zem 6.1. Tas padara viņu vietnes neaizsargātas ne tikai pret XSS uzbrukumiem, bet arī pret citiem savvaļas trūkumiem, norāda publikācija. teica.

Redaktoru ieteikumi

  • Hakeri izmanto viltotas WordPress DDoS lapas, lai palaistu ļaunprātīgu programmatūru
  • Jūsu Lenovo klēpjdatoram var būt nopietna drošības kļūda

Uzlabojiet savu dzīvesveiduDigitālās tendences palīdz lasītājiem sekot līdzi steidzīgajai tehnoloģiju pasaulei, izmantojot visas jaunākās ziņas, jautrus produktu apskatus, ieskatu saturošus rakstus un unikālus ieskatus.