Tech News & Advice

Daugiau nei 1 milijonui „WordPress“ svetainių gresia XXS atakos dėl „Buggy“ papildinio

Saugumo ekspertai paskelbė įspėjimą dėl „Advanced Custom Fields“ ir „Advanced Custom Fields Pro“ „WordPress“ įskiepiai, kurie turi milijonus įdiegimų ir yra jautrūs scenarijai tarp svetainių (XSS) išpuolių.

Šie papildiniai yra labai populiarūs pasirinktiniai „WordPress“ lauko kūrėjai ir naudojami maždaug 2 000 000 aktyvių svetainių visame pasaulyje.

Pažeidžiamumas, identifikuotas kaip CVE-2023-30777, yra susijęs su atspindėto kryžminio scenarijaus (XSS) scenarijumi, kuris gali gali būti išnaudojami kenkėjiškų vykdomųjų scenarijų įvedimui į svetaines, kurios laikomos saugiomis ir ne pavojinga.

„BleepingComputer“. pranešė, kad 2023 m. gegužės 2 d. Rafie Muhammad, Patchstack tyrėjas, nustatė atspindėtą didelio sunkumo XSS pažeidžiamumą, kuris buvo pavadintas CVE-2023-30777.

Kryžminių svetainių scenarijų (XSS) pažeidžiamumas paprastai leidžia užpuolikams įvesti kenkėjiškus scenarijus į svetaines, kurias pasiekia kiti, todėl lankytojo žiniatinklio naršyklėje paleidžiamas kodas.

„Šis pažeidžiamumas leidžia bet kuriam neautentifikuotam vartotojui pavogti neskelbtinos informacijos atvejis, privilegijų eskalavimas „WordPress“ svetainėje priviliojant privilegijuotą vartotoją apsilankyti sukurtame URL kelias“

Pagal Patchstack, XSS pažeidžiamumas gali leisti neteisėtam užpuolikui pasisavinti neskelbtinus duomenis ir padidinti savo privilegijas pažeistoje „WordPress“ svetainėje.

Atsispindinčios XSS atakos dažniausiai įvyksta, kai aukos yra apgaudinėjamos spustelėjus netikrą nuorodą, kuri perduoda kenkėjišką kodą jautriai svetainei, vėliau atspindėdamas ataką atgal į vartotoją interneto naršyklė.

Socialinės inžinerijos buvimas yra svarbus atspindimų XSS atakų veiksnys, kuris riboja jų apimtį ir mastą, palyginti su saugomomis XSS atakomis.

Šis apribojimas verčia piktybinius veikėjus platinti žalingą nuorodą kuo daugiau aukų, kad atakos poveikis būtų kuo didesnis.

Kai „Patchstack“ įspėjo papildinio kūrėją apie pažeidžiamumą, 2023 m. gegužės 4 d. buvo nedelsiant išleistas saugos naujinimas kaip 6.1.6 versija.

Susijęs

Sekite naujausias technologijų tendencijas – nemokamai pristatoma tiesiai į gautuosius!

Husainas internete lankosi nuo pat telefono ryšio laikų ir mėgsta rašyti apie viską, kas yra technosferoje. Jam patinka peržiūrėti technologijas, rašyti apie VPN ir skelbti kibernetinio saugumo naujienas.

Netikras „ChatGPT Chrome“ plėtinys užgrobia „Facebook“ paskyras

Įveikdami nuolat augančio ChatGPT populiarumo bangą, įsilaužėliai dabar naudoja kenkėjišką tariam...

Skaityti daugiau

„Tesla“ du kartus nulaužė „Pwn2Own Hackathon“ tyrėjų

„Tesla Model 3“ ir 100 000 USD piniginis prizas buvo įteiktas įsilaužimo grupei, kuri sėkmingai p...

Skaityti daugiau