Napaka v dvoje WordPress vtičnikov po meri pušča uporabnike ranljive za napade s skriptiranjem na več mestih (XSS), glede na nedavno poročilo.
Patchstack raziskovalec Rafie Muhammad je nedavno odkril napako XSS v Napredna polja po meri in Advanced Custom Fields Pro vtičnikov, ki jih po navedbah aktivno namešča več kot 2 milijona uporabnikov po vsem svetu Bleeping Computer.
Priporočeni videoposnetki
Napaka, imenovana CVE-2023-30777, je bila odkrita 2. maja in je bila označena z visoko resnostjo. Razvijalec vtičnikov, WP Engine, je hitro zagotovil varnostno posodobitev, različica 6.1.6, v nekaj dneh po tem, ko je izvedel za ranljivost, 4. maja.
Povezano
- Ta ranljivost Twitterja je morda razkrila lastnike računov zapisovalnikov
- Tumblr obljublja, da je odpravil napako, zaradi katere so bili uporabniški podatki izpostavljeni
Priljubljen graditelji polja po meri omogočajo uporabnikom, da imajo popoln nadzor nad njihovim sistemom za upravljanje vsebine iz ozadja, z zasloni za urejanje WordPress, podatki polja po meri in drugimi funkcijami.
Vendar pa je hrošče XSS mogoče videti spredaj in delujejo z vbrizgavanjem »zlonamernih skriptov na spletna mesta, ki si jih ogledajo drugi, kar povzroči izvajanje kode v spletnem brskalniku obiskovalca,« Bleeping Dodan računalnik.
To bi lahko pustilo obiskovalce spletnega mesta odprte za krajo njihovih podatkov z okuženih spletnih mest WordPress, je opozoril Patchstack.
Podrobnosti o ranljivosti XSS kažejo, da jo lahko sproži »privzeta namestitev ali konfiguracija vtičnika Advanced Custom Fields«. Vendar pa bi uporabniki morali imeti prijavljen dostop do vtičnika Advanced Custom Fields, da bi ga sprožil, kar pomeni, da bi moral slab igralec nekoga pretentati z dostopom, da bi sprožil napako, so dodali raziskovalci.
Napako CVE-2023-30777 najdete v admin_body_class funkcijski upravljalnik, v katerega lahko slab igralec vbrizga zlonamerno kodo. Zlasti ta hrošč v nepravilno sestavljeno kodo vnaša obremenitve DOM XSS, ki je ne ujame izhod kode za čiščenje, nekakšen varnostni ukrep, ki je del napake.
Popravek v različici 6.1.6 je predstavil kavelj admin_body_class, ki blokira izvedbo napada XSS.
Uporabniki Napredna polja po meri in Advanced Custom Fields Pro mora nadgraditi vtičnike na različico 6.1.6 ali novejšo. Mnogi uporabniki so še vedno dovzetni za napade, pri čemer ima približno 72,1 % uporabnikov vtičnika WordPress.org nameščene različice spodaj 6.1. Zaradi tega so njihova spletna mesta ranljiva ne le za napade XSS, temveč tudi za druge napake v divjini, piše v publikaciji. rekel.
Priporočila urednikov
- Hekerji uporabljajo ponarejene strani WordPress DDoS za zagon zlonamerne programske opreme
- Vaš prenosni računalnik Lenovo ima lahko resno varnostno napako
Nadgradite svoj življenjski slogDigitalni trendi bralcem pomagajo slediti hitremu svetu tehnologije z vsemi najnovejšimi novicami, zabavnimi ocenami izdelkov, pronicljivimi uvodniki in enkratnimi vpogledi v vsebine.
