En feil i to WordPress tilpassede plug-ins gjør brukere sårbare for cross-site scripting angrep (XSS), ifølge en fersk rapport.
Patchstack-forsker Rafie Muhammad oppdaget nylig en XSS-feil i Avanserte egendefinerte felt og Advanced Custom Fields Pro plug-ins, som er aktivt installert av over 2 millioner brukere over hele verden, ifølge Blødende datamaskin.
Anbefalte videoer
Feilen, kalt CVE-2023-30777, ble oppdaget 2. mai og ble gitt en høy alvorlighetsgrad. Utvikleren av plugin-modulene, WP Engine, ga raskt en sikkerhetsoppdatering, versjon 6.1.6, i løpet av dager etter å ha lært om sårbarheten, 4. mai.
I slekt
- Denne Twitter-sårbarheten kan ha avslørt eiere av brennerkontoer
- Tumblr lover at det fikset en feil som etterlot brukerdata eksponert
Det populære tilpassede feltbyggere tillate brukere å ha full kontroll over innholdsstyringssystemet fra baksiden, med WordPress-redigeringsskjermer, tilpassede feltdata og andre funksjoner.
Imidlertid kan XSS-feil sees på en frontvendt måte og fungerer ved å injisere "ondsinnede skript på nettsteder som er sett av andre, noe som resulterer i utføring av kode på den besøkendes nettleser," Bleeping Datamaskin lagt til.
Dette kan gjøre besøkende åpne for å få data stjålet fra infiserte WordPress-nettsteder, bemerket Patchstack.
Spesifikasjoner om XSS-sårbarheten indikerer at den kan utløses av en "standardinstallasjon eller konfigurasjon av plugin-modulen Advanced Custom Fields." Imidlertid må brukerne ha pålogget tilgang til Advanced Custom Fields-plugin-modulen for å utløse den i utgangspunktet, noe som betyr at en dårlig skuespiller må lure noen med tilgang for å utløse feilen, la forskerne til.
CVE-2023-30777-feilen kan bli funnet i admin_body_class funksjonsbehandler, der en dårlig skuespiller kan injisere ondsinnet kode. Spesielt injiserer denne feilen DOM XSS-nyttelast i den feilutformede koden, som ikke fanges opp av kodens renseutgang, et slags sikkerhetstiltak, som er en del av feilen.
Reparasjonen på versjon 6.1.6 introduserte admin_body_class krok, som blokkerer XSS-angrepet fra å kunne utføres.
Brukere av Avanserte egendefinerte felt og Advanced Custom Fields Pro bør oppgradere plugin-modulene til versjon 6.1.6 eller nyere. Mange brukere er fortsatt utsatt for angrep, med omtrent 72,1 % av WordPress.org-plugin-brukere som kjører versjoner under 6.1. Dette gjør nettsidene deres sårbare ikke bare for XSS-angrep, men også for andre feil i naturen, skriver publikasjonen sa.
Redaktørenes anbefalinger
- Hackere bruker falske WordPress DDoS-sider for å lansere skadelig programvare
- Din bærbare Lenovo-datamaskin kan ha en alvorlig sikkerhetsfeil
Oppgrader livsstilen dinDigitale trender hjelper leserne å følge med på den fartsfylte teknologiverdenen med alle de siste nyhetene, morsomme produktanmeldelser, innsiktsfulle redaksjoner og unike sniktitter.
