İkide bir kusur wordpress Yakın tarihli bir rapora göre, özel eklentiler, kullanıcıları siteler arası komut dosyası çalıştırma saldırılarına (XSS) karşı savunmasız bırakıyor.
Yama yığını araştırmacısı Rafie Muhammad yakın zamanda bir XSS kusuru keşfetti. Gelişmiş Özel Alanlar Ve Gelişmiş Özel Alanlar Pro göre dünya çapında 2 milyondan fazla kullanıcı tarafından aktif olarak yüklenen eklentiler Uyku Bilgisayarı.
Önerilen Videolar
CVE-2023-30777 olarak adlandırılan kusur, 2 Mayıs'ta keşfedildi ve yüksek önem derecesine sahip oldu. Eklentilerin geliştiricisi WP Engine, güvenlik açığını öğrendikten sonraki günler içinde 4 Mayıs'ta hızla bir güvenlik güncellemesi olan 6.1.6 sürümünü sağladı.
İlgili
- Bu Twitter güvenlik açığı, kullan-at hesaplarının sahiplerini ortaya çıkarmış olabilir
- Tumblr, kullanıcı verilerinin açığa çıkmasına neden olan bir hatayı düzelttiğine söz veriyor
Popüler özel alan oluşturucular WordPress düzenleme ekranları, özel alan verileri ve diğer özelliklerle kullanıcıların arka uçtan içerik yönetim sistemleri üzerinde tam kontrole sahip olmalarına izin verin.
Bununla birlikte, XSS hataları öne bakan bir şekilde görülebilir ve "kötü amaçlı komut dosyaları" enjekte ederek çalışır. başkaları tarafından görüntülenen web siteleri, ziyaretçinin web tarayıcısında kod yürütülmesiyle sonuçlanır," Bleeping Bilgisayar eklendi.
Patchstack, bunun web sitesi ziyaretçilerini verilerinin virüslü WordPress sitelerinden çalınmasına açık bırakabileceğini belirtti.
XSS güvenlik açığıyla ilgili ayrıntılar, bunun "Gelişmiş Özel Alanlar eklentisinin varsayılan kurulumu veya yapılandırması" tarafından tetiklenebileceğini gösteriyor. Ancak, kullanıcıların sahip olması gereken Araştırmacılar, Gelişmiş Özel Alanlar eklentisine ilk etapta tetiklemek için giriş yapmış erişimin, kötü bir aktörün kusuru tetiklemek için erişimi olan birini kandırması gerektiği anlamına geldiğini ekledi.
CVE-2023-30777 kusuru şurada bulunabilir: admin_body_class kötü bir aktörün kötü amaçlı kod enjekte edebileceği işlev işleyicisi. Özellikle, bu hata, kusurun bir parçası olan bir tür güvenlik önlemi olan kodun temizleme çıktısı tarafından yakalanmayan, yanlış hazırlanmış koda DOM XSS yüklerini enjekte eder.
6.1.6 sürümündeki düzeltme, admin_body_class kancası, bu da XSS saldırısının yürütülmesini engeller.
kullanıcıları Gelişmiş Özel Alanlar Ve Gelişmiş Özel Alanlar Pro eklentileri 6.1.6 veya sonraki bir sürüme yükseltmelidir. Pek çok kullanıcı, WordPress.org eklenti kullanıcılarının yaklaşık %72,1'inin çalışan sürümleri olduğu için saldırılara açık olmaya devam ediyor 6.1'in altında. Bu, web sitelerini yalnızca XSS saldırılarına karşı değil, aynı zamanda vahşi doğadaki diğer kusurlara karşı da savunmasız hale getiriyor. söz konusu.
Editörlerin Önerileri
- Bilgisayar korsanları kötü amaçlı yazılım başlatmak için sahte WordPress DDoS sayfaları kullanıyor
- Lenovo dizüstü bilgisayarınızda ciddi bir güvenlik açığı olabilir
Yaşam tarzınızı yükseltinDijital Eğilimler, en son haberler, eğlenceli ürün incelemeleri, anlayışlı başyazılar ve türünün tek örneği ön incelemelerle okuyucuların hızlı tempolu teknoloji dünyasını takip etmelerine yardımcı olur.