Un defect în doi WordPress Plug-in-urile personalizate îi lasă pe utilizatori vulnerabili la atacuri cu scripturi între site-uri (XSS), conform unui raport recent.
Cercetator Patchstack Rafie Muhammad a descoperit recent un defect XSS în Câmpuri personalizate avansate și Câmpuri personalizate avansate Pro plug-in-uri, care sunt instalate activ de peste 2 milioane de utilizatori din întreaga lume, potrivit Bleeping Computer.
Videoclipuri recomandate
Defectul, numit CVE-2023-30777, a fost descoperit pe 2 mai și i s-a acordat o importanță de mare severitate. Dezvoltatorul plug-in-urilor, WP Engine, a oferit rapid o actualizare de securitate, versiunea 6.1.6, în câteva zile de la aflarea vulnerabilității, pe 4 mai.
Legate de
- Este posibil ca această vulnerabilitate Twitter să fi dezvăluit proprietarii de conturi Burner
- Tumblr promite că a remediat o eroare care a lăsat expuse datele utilizatorilor
Popularul constructori de câmp personalizat permite utilizatorilor să aibă control deplin asupra sistemului lor de gestionare a conținutului din back-end, cu ecrane de editare WordPress, date de câmp personalizate și alte funcții.
Cu toate acestea, erorile XSS pot fi văzute într-un mod frontal și funcționează prin injectarea de „scripturi rău intenționate pe site-uri web vizualizate de alții, ceea ce duce la executarea codului în browserul web al vizitatorului”, Bleeping Computer adăugat.
Acest lucru ar putea lăsa vizitatorii site-ului deschiși să li se fure datele de pe site-urile WordPress infectate, a remarcat Patchstack.
Specificațiile despre vulnerabilitatea XSS indică faptul că aceasta ar putea fi declanșată de o „instalare sau configurație implicită a plug-in-ului Advanced Custom Fields”. Cu toate acestea, utilizatorii ar trebui să aibă accesul conectat la plug-in-ul Advanced Custom Fields pentru a-l declanșa în primul rând, ceea ce înseamnă că un actor rău ar trebui să păcălească pe cineva cu acces pentru a declanșa defectul, au adăugat cercetătorii.
Defectul CVE-2023-30777 poate fi găsit în admin_body_class handler de funcții, în care un actor rău poate injecta cod rău intenționat. În special, această eroare injectează încărcături utile DOM XSS în codul redactat necorespunzător, care nu este surprins de ieșirea de dezinfectare a codului, o măsură de securitate, care face parte din defect.
Remedierea versiunii 6.1.6 a introdus cârlig admin_body_class, care blochează atacul XSS să nu poată fi executat.
Utilizatorii de Câmpuri personalizate avansate și Câmpuri personalizate avansate Pro ar trebui să actualizeze pluginurile la versiunea 6.1.6 sau o versiune ulterioară. Mulți utilizatori rămân susceptibili la atacuri, aproximativ 72,1% dintre utilizatorii pluginurilor WordPress.org având versiuni care rulează sub 6.1. Acest lucru face site-urile lor vulnerabile nu numai la atacurile XSS, ci și la alte defecte în sălbăticie, publicația a spus.
Recomandările editorilor
- Hackerii folosesc pagini DDoS false WordPress pentru a lansa programe malware
- Laptopul dvs. Lenovo poate avea o defecțiune gravă de securitate
Îmbunătățește-ți stilul de viațăDigital Trends îi ajută pe cititori să țină cont de lumea rapidă a tehnologiei cu toate cele mai recente știri, recenzii distractive despre produse, editoriale perspicace și anticipări unice.
