Een fout in twee WordPress aangepaste plug-ins maken gebruikers kwetsbaar voor cross-site scripting-aanvallen (XSS), volgens een recent rapport.
Patchstack-onderzoeker Rafie Muhammad ontdekte onlangs een XSS-fout in de Geavanceerde aangepaste velden En Geavanceerde aangepaste velden Pro plug-ins, die volgens meer dan 2 miljoen gebruikers wereldwijd actief worden geïnstalleerd Piepende computer.
Aanbevolen video's
De fout, genaamd CVE-2023-30777, werd ontdekt op 2 mei en kreeg een zeer ernstige status. De ontwikkelaar van de plug-ins, WP Engine, zorgde op 4 mei snel voor een beveiligingsupdate, versie 6.1.6, binnen enkele dagen na het ontdekken van de kwetsbaarheid.
Verwant
- Deze Twitter-kwetsbaarheid heeft mogelijk eigenaren van branderaccounts onthuld
- Tumblr belooft dat het een bug heeft opgelost waardoor gebruikersgegevens zichtbaar werden
De populaire aangepaste veldbouwers stelt gebruikers in staat volledige controle te hebben over hun contentmanagementsysteem vanaf de backend, met WordPress-bewerkingsschermen, aangepaste veldgegevens en andere functies.
XSS-bugs kunnen echter frontaal worden gezien en werken door "kwaadaardige scripts op websites die door anderen worden bekeken, resulterend in de uitvoering van code in de webbrowser van de bezoeker”, Bleeping Computer toegevoegd.
Hierdoor kunnen websitebezoekers ervoor openstaan dat hun gegevens worden gestolen van geïnfecteerde WordPress-sites, merkte Patchstack op.
Details over de XSS-kwetsbaarheid geven aan dat deze mogelijk wordt veroorzaakt door een "standaardinstallatie of configuratie van de Advanced Custom Fields-plug-in". Gebruikers zouden het echter wel moeten hebben ingelogde toegang tot de plug-in Advanced Custom Fields om deze in de eerste plaats te activeren, wat betekent dat een slechte acteur iemand met toegang zou moeten misleiden om de fout te activeren, voegde de onderzoekers eraan toe.
De fout CVE-2023-30777 is te vinden in de admin_body_class function handler, waarin een slechte actor kwaadaardige code kan injecteren. Deze bug injecteert met name DOM XSS-payloads in de onjuist opgestelde code, die niet wordt opgevangen door de sanitize-uitvoer van de code, een soort beveiligingsmaatregel die deel uitmaakt van de fout.
De fix op versie 6.1.6 introduceerde de admin_body_class haak, waardoor de XSS-aanval niet kan worden uitgevoerd.
Gebruikers van Geavanceerde aangepaste velden En Geavanceerde aangepaste velden Pro moet de plug-ins upgraden naar versie 6.1.6 of hoger. Veel gebruikers blijven vatbaar voor aanvallen, met ongeveer 72,1% van de WordPress.org-plug-ingebruikers die versies draaien hieronder 6.1. Dit maakt hun websites niet alleen kwetsbaar voor XSS-aanvallen, maar ook voor andere fouten in het wild, aldus de publicatie gezegd.
Aanbevelingen van de redactie
- Hackers gebruiken valse WordPress DDoS-pagina's om malware te lanceren
- Uw Lenovo-laptop heeft mogelijk een ernstig beveiligingslek
Upgrade je levensstijlDigital Trends helpt lezers de snelle wereld van technologie in de gaten te houden met het laatste nieuws, leuke productrecensies, verhelderende hoofdartikelen en unieke sneak peeks.
