Błąd w dwójce WordPressa Zgodnie z najnowszym raportem, niestandardowe wtyczki narażają użytkowników na ataki cross-site scripting (XSS).
Badacz Patchstacków Rafie Muhammad niedawno odkrył lukę XSS w Zaawansowane pola niestandardowe I Zaawansowane pola niestandardowe Pro wtyczki, które są aktywnie instalowane przez ponad 2 miliony użytkowników na całym świecie, według Piszczący komputer.
Polecane filmy
Luka o nazwie CVE-2023-30777 została odkryta 2 maja i nadano jej wysoki stopień ważności. Twórca wtyczek, WP Engine, szybko dostarczył aktualizację zabezpieczeń, wersję 6.1.6, w ciągu kilku dni od dowiedzenia się o luce, 4 maja.
Powiązany
- Ta luka w zabezpieczeniach Twittera mogła ujawnić właścicieli kont nagrywarek
- Tumblr obiecuje, że naprawił błąd, który spowodował ujawnienie danych użytkownika
Popularny niestandardowe konstruktory pól pozwalają użytkownikom na pełną kontrolę nad systemem zarządzania treścią z zaplecza, z ekranami edycji WordPress, niestandardowymi danymi pól i innymi funkcjami.
Jednak błędy XSS mogą być widoczne z przodu i działają poprzez wstrzykiwanie „złośliwych skryptów do przeglądane przez innych strony internetowe, powodujące wykonanie kodu w przeglądarce internetowej odwiedzającego” Bleeping Dodano komputer.
Patchstack zauważył, że może to spowodować, że odwiedzający witrynę będą narażeni na kradzież danych z zainfekowanych witryn WordPress.
Specyfika luki XSS wskazuje, że może ona zostać wywołana przez „domyślną instalację lub konfigurację wtyczki Advanced Custom Fields”. Jednak użytkownicy musieliby mieć zalogowany dostęp do wtyczki Advanced Custom Fields, aby ją uruchomić, co oznacza, że zły aktor musiałby oszukać kogoś z dostępem, aby uruchomić lukę, dodali naukowcy.
Lukę CVE-2023-30777 można znaleźć w pliku admin_body_class obsługi funkcji, w której zły aktor może wstrzyknąć złośliwy kod. W szczególności ten błąd wstrzykuje ładunki DOM XSS do nieprawidłowo napisanego kodu, który nie jest przechwytywany przez wyjście sanitize kodu, rodzaj środka bezpieczeństwa, który jest częścią usterki.
Poprawka w wersji 6.1.6 wprowadziła hak admin_body_class, co blokuje możliwość wykonania ataku XSS.
Użytkownicy Zaawansowane pola niestandardowe I Zaawansowane pola niestandardowe Pro powinien zaktualizować wtyczki do wersji 6.1.6 lub nowszej. Wielu użytkowników pozostaje podatnych na ataki, a około 72,1% użytkowników wtyczek WordPress.org ma uruchomione wersje poniżej 6,1. To sprawia, że ich strony internetowe są podatne nie tylko na ataki XSS, ale także na inne luki w naturze, publikacja powiedział.
Zalecenia redaktorów
- Hakerzy używają fałszywych stron WordPress DDoS do uruchamiania złośliwego oprogramowania
- Twój laptop Lenovo może mieć poważną lukę w zabezpieczeniach
Ulepsz swój styl życiaTrendy cyfrowe pomagają czytelnikom śledzić szybko zmieniający się świat technologii dzięki najnowszym wiadomościom, zabawnym recenzjom produktów, wnikliwym artykułom redakcyjnym i jedynym w swoim rodzaju zapowiedziom.
