Этот недостаток безопасности плагина WordPress может поставить под угрозу миллионы веб-сайтов — узнайте, затронуты ли вы
вычисления techradar.com Новости

Этот недостаток безопасности плагина WordPress может поставить под угрозу миллионы веб-сайтов — узнайте, затронуты ли вы

9 мая 2023 г.

Популярный подключаемый модуль для Wordpress конструктора веб-сайтов с более чем двумя миллионов активных установок содержали серьезную уязвимость, которая позволяла злоумышленникам красть конфиденциальные данные посетителей и, в некоторых случаях, полностью завладевать веб-сайтом.

Плагин называется Advanced Custom Fields, который вместе с Pro версии, дает администраторам веб-сайтов больший контроль над содержимым и данными веб-сайта.

Однако плагин был уязвим для атаки с использованием межсайтового скриптинга (XSS), которая позволяет злоумышленникам внедрять вредоносный код на уязвимые веб-сайты. Затем код запускается в браузере посетителя, позволяя злоумышленникам получить конфиденциальные данные. Если один из посетителей также окажется администратором сайта, злоумышленник также может захватить его данные и, в конечном итоге, полностью завладеть сайтом.

Исправление дефекта

Эта уязвимость была впервые обнаружена в начале февраля 2023 года исследователем Patchstack Рафи Мухаммедом и сообщила об этом поставщику подключаемого модуля, компании Delicious Brains.

Ей был присвоен номер отслеживания CVE-2023-30777, а уровень серьезности — 6,1/10. Два месяца спустя, в начале апреля, Delicious Brains выпустила патч, устраняющий уязвимость, который также обновил плагин до версии 6.1.6. Администраторы, обеспокоенные атаками с использованием межсайтовых сценариев, должны как можно скорее убедиться, что их подключаемый модуль обновлен до этой версии.

Подробнее

> 10 причин, по которым WooCommerce является идеальным партнером для веб-сайта электронной коммерции

> Обзор платформы электронной коммерции WooCommerce

> Что такое хостинг WordPress ?

«Эта уязвимость позволяет любому пользователю, не прошедшему проверку подлинности, [красть] конфиденциальную информацию, в данном случае — для повышения привилегий на сайте WordPress, обманом заставляя привилегированного пользователя посетить созданный URL-адрес», — сообщает Patchstack. «Эта уязвимость может быть вызвана стандартной установкой или настройкой плагина Advanced Custom Fields. XSS также может быть вызвана только вошедшими в систему пользователями, у которых есть доступ к плагину Advanced Custom Fields», — заключили исследователи.

< p>Согласно The Register, уязвимость относительно проста и является одной из четырех, обнаруженных в этом плагине за последние пару лет.

.

Через: Реестр

Оригинал

Recent Post

Categories

PREVIOUS ARTICLE
NEXT ARTICLE