Недостаток в двух Вордпресс Согласно недавнему отчету, пользовательские плагины делают пользователей уязвимыми для атак с использованием межсайтовых сценариев (XSS).
Исследователь стека патчей Рафи Мухаммед недавно обнаружил недостаток XSS в Расширенные настраиваемые поля и Расширенные настраиваемые поля Pro плагины, которые активно устанавливают более 2 миллионов пользователей по всему миру, по данным Пищит Компьютер.
Рекомендуемые видео
Уязвимость под названием CVE-2023-30777 была обнаружена 2 мая и получила высокую степень серьезности. Разработчик плагинов, WP Engine, быстро предоставил обновление безопасности версии 6.1.6 в течение нескольких дней после того, как стало известно об уязвимости, 4 мая.
Связанный
- Эта уязвимость в Твиттере могла выявить владельцев учетных записей для записи
- Tumblr обещает исправить ошибку, из-за которой пользовательские данные оставались открытыми
популярный настраиваемые конструкторы полей позволяют пользователям иметь полный контроль над своей системой управления контентом из серверной части с помощью экранов редактирования WordPress, данных настраиваемых полей и других функций.
Тем не менее, XSS-ошибки можно увидеть напрямую, и они работают путем внедрения «вредоносных скриптов в веб-сайты, просматриваемые другими, что приводит к выполнению кода в веб-браузере посетителя». Добавлен компьютер.
Patchstack отмечает, что это может сделать посетителей веб-сайтов уязвимыми для кражи их данных с зараженных сайтов WordPress.
Особенности уязвимости XSS указывают на то, что она может быть вызвана «установкой по умолчанию или настройкой подключаемого модуля Advanced Custom Fields». Тем не менее, пользователи должны иметь Исследователи добавили, что доступ к подключаемому модулю Advanced Custom Fields для его активации в первую очередь означает, что злоумышленнику придется обмануть кого-то, у кого есть доступ, чтобы вызвать уязвимость.
Уязвимость CVE-2023-30777 можно найти в admin_body_class обработчик функции, в котором злоумышленник может внедрить вредоносный код. В частности, эта ошибка внедряет полезные данные DOM XSS в неправильно составленный код, который не обнаруживается выходными данными очистки кода, своего рода мерой безопасности, которая является частью недостатка.
Исправление в версии 6.1.6 представило хук admin_body_class, который блокирует возможность выполнения атаки XSS.
Пользователи Расширенные настраиваемые поля и Расширенные настраиваемые поля Pro следует обновить плагины до версии 6.1.6 или выше. Многие пользователи по-прежнему уязвимы для атак: примерно 72,1% пользователей плагинов WordPress.org имеют работающие версии. ниже 6.1. Это делает их сайты уязвимыми не только для XSS-атак, но и для других уязвимых мест, пишет издание. сказал.
Рекомендации редакции
- Хакеры используют поддельные DDoS-страницы WordPress для запуска вредоносных программ
- Ваш ноутбук Lenovo может иметь серьезную уязвимость в системе безопасности
Обновите свой образ жизниDigital Trends помогает читателям быть в курсе быстро меняющегося мира технологий благодаря всем последним новостям, забавным обзорам продуктов, проницательным редакционным статьям и единственным в своем роде кратким обзорам.
