Недолік у двох WordPress Нестандартні плагіни роблять користувачів уразливими до атак міжсайтових сценаріїв (XSS), згідно з нещодавнім звітом.
Дослідник Patchstack Рафі Мухаммад нещодавно виявив недолік XSS у Розширені спеціальні поля і Advanced Custom Fields Pro плагіни, які активно встановлюють понад 2 мільйони користувачів у всьому світі, згідно з даними Блеючий комп'ютер.
Рекомендовані відео
Порушення під назвою CVE-2023-30777 було виявлено 2 травня, і йому було присвоєно статус високої серйозності. Розробник плагінів, WP Engine, швидко надав оновлення системи безпеки версії 6.1.6 протягом декількох днів після того, як дізнався про вразливість 4 травня.
Пов'язані
- Ця вразливість Twitter могла виявити власників облікових записів Burner
- Tumblr обіцяє, що виправив помилку, через яку дані користувачів були відкритими
Популярний спеціальні конструктори полів дозволяють користувачам мати повний контроль над своєю системою керування вмістом із серверної частини за допомогою екранів редагування WordPress, користувацьких даних полів та інших функцій.
Однак помилки XSS можна побачити на передній панелі та працювати, впроваджуючи «шкідливі сценарії на веб-сайти, які переглядають інші, що призводить до виконання коду у веб-браузері відвідувача», Bleeping Комп'ютер додано.
Це може призвести до крадіжки даних відвідувачів із заражених сайтів WordPress, зазначив Патчстак.
Особливості вразливості XSS вказують на те, що вона може бути викликана «встановленням за замовчуванням або конфігурацією плагіна Advanced Custom Fields». Однак користувачі повинні були б мати Дослідники додали, що зареєструвався доступ до плагіна Advanced Custom Fields, щоб запустити його, а це означає, що поганому гравцеві доведеться обдурити когось із доступом, щоб запустити недолік.
Недолік CVE-2023-30777 можна знайти в admin_body_class обробник функції, у який зловмисник може вставити шкідливий код. Зокрема, ця помилка вводить корисні навантаження DOM XSS у неправильно складений код, який не вловлюється дезінфікуючими виводами коду, свого роду заходом безпеки, який є частиною недоліку.
Виправлення версії 6.1.6 представило хук admin_body_class, який блокує XSS-атаку від можливості виконати.
Користувачі Розширені спеціальні поля і Advanced Custom Fields Pro слід оновити плагіни до версії 6.1.6 або новішої. Багато користувачів залишаються вразливими до атак, приблизно 72,1% користувачів плагіна WordPress.org мають запущені версії нижче 6.1. Це робить їхні веб-сайти вразливими не лише до атак XSS, але й до інших недоліків у дикій природі, повідомляє видання. сказав.
Рекомендації редакції
- Хакери використовують підроблені DDoS-сторінки WordPress для запуску зловмисного програмного забезпечення
- У вашому ноутбуці Lenovo може бути серйозний недолік безпеки
Оновіть свій спосіб життяDigital Trends допомагає читачам стежити за динамічним світом технологій завдяки всім останнім новинам, цікавим оглядам продуктів, проникливим редакційним статтям і унікальним у своєму роді коротким оглядам.
