Nová chyba WordPress mohla spôsobiť zraniteľnosť 2 miliónov stránok

Chyba v dvoch WordPress Podľa nedávnej správy sú prispôsobené zásuvné moduly zraniteľné voči útokom typu cross-site scripting (XSS).

Výskumník Patchstack Rafie Muhammad nedávno objavil chybu XSS Rozšírené vlastné polia a Advanced Custom Fields Pro zásuvných modulov, ktoré si aktívne inštalujú viac ako 2 milióny používateľov na celom svete Pípajúci počítač.

Odporúčané videá

Chyba s názvom CVE-2023-30777 bola objavená 2. mája a dostala veľmi závažnú dôležitosť. Vývojár doplnkov, WP Engine, 4. mája rýchlo poskytol aktualizáciu zabezpečenia, verziu 6.1.6, v priebehu niekoľkých dní po tom, ako sa dozvedel o tejto zraniteľnosti.

Súvisiace

  • Táto zraniteľnosť Twitteru mohla odhaliť majiteľov účtov napaľovačky
  • Tumblr sľubuje, že opravil chybu, ktorá spôsobila odhalenie používateľských údajov

Populárne staviteľov polí na mieru umožňujú používateľom mať plnú kontrolu nad ich systémom na správu obsahu zo zadnej strany pomocou obrazoviek úprav WordPress, údajov o vlastných poliach a ďalších funkcií.

Chyby XSS však možno vidieť spredu a fungujú tak, že do nich vkladajú „škodlivé skripty webové stránky, ktoré si prezerajú iní, čo má za následok spustenie kódu vo webovom prehliadači návštevníka,“ Bleeping Pridaný počítač.

To by mohlo nechať návštevníkov webových stránok otvorených odcudzeniu ich údajov z infikovaných stránok WordPress, poznamenal Patchstack.

Špecifiká o zraniteľnosti XSS naznačujú, že ju môže spustiť „predvolená inštalácia alebo konfigurácia doplnku Advanced Custom Fields“. Používatelia by však museli mať prihlásený prístup k doplnku Advanced Custom Fields, aby sa to v prvom rade spustilo, čo znamená, že zlý herec by musel niekoho oklamať s prístupom, aby spustil chybu, dodali výskumníci.

Chybu CVE-2023-30777 možno nájsť v admin_body_class handler funkcie, do ktorého môže zlý herec vložiť škodlivý kód. Táto chyba najmä vnáša užitočné zaťaženie DOM XSS do nesprávne navrhnutého kódu, ktorý nie je zachytený výstupom dezinfekcie kódu, čo je bezpečnostné opatrenie, ktoré je súčasťou chyby.

Oprava vo verzii 6.1.6 zaviedla háčik admin_body_class, ktorý blokuje vykonanie XSS útoku.

Používatelia Rozšírené vlastné polia a Advanced Custom Fields Pro mali aktualizovať doplnky na verziu 6.1.6 alebo novšiu. Mnoho používateľov zostáva náchylných na útoky, pričom približne 72,1 % používateľov doplnkov WordPress.org má spustené verzie nižšie ako 6.1. Vďaka tomu sú ich webové stránky zraniteľné nielen voči útokom XSS, ale aj voči iným nedostatkom vo voľnej prírode povedal.

Odporúčania redaktorov

  • Hackeri používajú falošné stránky WordPress DDoS na spustenie škodlivého softvéru
  • Váš notebook Lenovo môže mať vážnu bezpečnostnú chybu

Zlepšite svoj životný štýlDigitálne trendy pomáhajú čitateľom mať prehľad o rýchlo sa rozvíjajúcom svete technológií so všetkými najnovšími správami, zábavnými recenziami produktov, užitočnými úvodníkmi a jedinečnými ukážkami.