Ett fel i två WordPress anpassade plugin-program gör användare sårbara för cross-site scripting attacker (XSS), enligt en färsk rapport.
Patchstack-forskare Rafie Muhammad upptäckte nyligen ett XSS-fel i Avancerade anpassade fält och Advanced Custom Fields Pro plug-ins, som aktivt installeras av över 2 miljoner användare världen över, enligt Pipande dator.
Rekommenderade videor
Felet, kallat CVE-2023-30777, upptäcktes den 2 maj och fick en hög prioritet. Utvecklaren av plugin-program, WP Engine, tillhandahöll snabbt en säkerhetsuppdatering, version 6.1.6, inom några dagar efter att ha lärt sig om sårbarheten, den 4 maj.
Relaterad
- Denna Twitter-sårbarhet kan ha avslöjat ägare till brännarkonton
- Tumblr lovar att det fixade en bugg som lämnade användardata exponerad
Det populära anpassade fältbyggare tillåter användare att ha full kontroll över sitt innehållshanteringssystem från baksidan, med WordPress-redigeringsskärmar, anpassade fältdata och andra funktioner.
Däremot kan XSS-buggar ses på ett frontvänt sätt och fungera genom att injicera "skadliga skript på webbplatser som andra tittat på, vilket resulterar i exekvering av kod på besökarens webbläsare", Bleeping Dator tillagd.
Detta kan lämna webbplatsbesökare öppna för att få deras data stulen från infekterade WordPress-webbplatser, noterade Patchstack.
Specifika uppgifter om XSS-sårbarheten indikerar att den kan utlösas av en "standardinstallation eller -konfiguration av plugin-programmet Advanced Custom Fields." Användare måste dock ha inloggad tillgång till plugin-programmet Advanced Custom Fields för att utlösa det i första hand, vilket innebär att en dålig skådespelare måste lura någon med tillgång för att utlösa felet, tillade forskarna.
CVE-2023-30777-felet kan hittas i admin_body_class funktionshanterare, där en dålig aktör kan injicera skadlig kod. I synnerhet injicerar denna bugg DOM XSS-nyttolaster i den felaktigt utarbetade koden, som inte fångas upp av kodens saneringsutdata, en slags säkerhetsåtgärd, som är en del av felet.
Fixeringen på version 6.1.6 introducerade admin_body_class krok, som blockerar XSS-attacken från att kunna utföras.
Användare av Avancerade anpassade fält och Advanced Custom Fields Pro bör uppgradera plugin-programmen till version 6.1.6 eller senare. Många användare är fortfarande mottagliga för attacker, med cirka 72,1 % av WordPress.org plugin-användare som kör versioner under 6.1. Detta gör deras webbplatser sårbara inte bara för XSS-attacker utan också för andra brister i det vilda, skriver publikationen sa.
Redaktörens rekommendationer
- Hackare använder falska WordPress DDoS-sidor för att lansera skadlig programvara
- Din bärbara Lenovo-dator kan ha ett allvarligt säkerhetsbrist
Uppgradera din livsstilDigitala trender hjälper läsare att hålla koll på den snabba teknikvärlden med alla de senaste nyheterna, roliga produktrecensioner, insiktsfulla redaktioner och unika smygtittar.
