Грешка у двоје ВордПресс прилагођени додаци остављају кориснике рањивим на нападе скриптовања на више локација (КССС), према недавном извештају.
Патцхстацк истраживач Рафие Мухамед је недавно открио КССС недостатак у Напредна прилагођена поља и Адванцед Цустом Фиелдс Про додатке, које активно инсталира преко 2 милиона корисника широм света, наводи Блеепинг Цомпутер.
Препоручени видео снимци
Грешка, названа ЦВЕ-2023-30777, откривена је 2. маја и добила је велику важност. Програмер додатака, ВП Енгине, брзо је обезбедио безбедносно ажурирање, верзију 6.1.6, у року од неколико дана након што је сазнао за рањивост, 4. маја.
Повезан
- Ова рањивост на Твитеру је можда открила власнике налога за снимање
- Тумблр обећава да је исправио грешку због које су подаци корисника били изложени
Популарни градитељи поља по мери омогућавају корисницима да имају потпуну контролу над својим системом за управљање садржајем са задње стране, са ВордПресс екранима за уређивање, прилагођеним подацима поља и другим функцијама.
Међутим, КССС грешке се могу видети на предњи начин и раде убацивањем „злонамерних скрипти на веб-странице које други прегледају, што резултира извршавањем кода на веб претраживачу посетиоца“, Блеепинг Рачунар је додат.
Ово би могло да остави посетиоце веб локације отвореним за крађу њихових података са заражених ВордПресс сајтова, приметио је Патцхстацк.
Специфичности КССС рањивости указују на то да је може покренути „подразумевана инсталација или конфигурација додатка Адванцед Цустом Фиелдс“. Међутим, корисници би морали да имају пријављен приступ додатку Адванцед Цустом Фиелдс да би га покренуо на првом месту, што значи да би лош актер морао да превари некога ко има приступ да би покренуо грешку, додали су истраживачи.
Грешка ЦВЕ-2023-30777 се може наћи у админ_боди_цласс руковалац функција, у који лош актер може убацити злонамерни код. Конкретно, ова грешка убризгава ДОМ КССС корисна оптерећења у непрописно нацртан код, што није ухваћено санитизе излазом кода, својеврсном сигурносном мером, која је део грешке.
Исправка у верзији 6.1.6 увела је админ_боди_цласс кука, који блокира могућност да се изврши КССС напад.
Корисници од Напредна прилагођена поља и Адванцед Цустом Фиелдс Про треба да надоградите додатке на верзију 6.1.6 или новију. Многи корисници су и даље подложни нападима, са приближно 72,1% корисника ВордПресс.орг додатака који имају покренуте верзије испод 6.1. Ово чини њихове веб странице рањивим не само на КССС нападе већ и на друге недостатке у дивљини, објавила је публикација рекао.
Препоруке уредника
- Хакери користе лажне ВордПресс ДДоС странице за покретање малвера
- Ваш Леново лаптоп можда има озбиљну безбедносну грешку
Надоградите свој животни стилДигитални трендови помажу читаоцима да прате убрзани свет технологије са свим најновијим вестима, забавним рецензијама производа, проницљивим уводницима и јединственим кратким прегледима.
