Недостаток безопасности плагина WordPress может поставить под угрозу миллионы веб-сайтов
Недостаток безопасности плагина WordPress может поставить под угрозу миллионы веб-сайтов. Фото: СС0
Плагин называется Advanced Custom Fields, который вместе с версией Pro дает администраторам веб-сайтов больший контроль над содержимым и данными веб-сайта.
Однако плагин был уязвим для атаки межсайтового скриптинга (XSS), которая позволяет злоумышленникам внедрять вредоносный код на уязвимые веб-сайты. Затем код запускается в браузере посетителя, позволяя злоумышленникам получить конфиденциальные данные. Если один из посетителей также окажется администратором сайта, злоумышленник также может захватить его данные и, в конечном итоге, полностью завладеть сайтом.
Уязвимость была впервые обнаружена в начале февраля 2023 года исследователем Patchstack Рафи Мухаммадом. Информация о ней направлена поставщику плагина Delicious Brains.
Ошибке был присвоен номер CVE-2023-30777. Уровень серьезности, по оценке исследователей, составил 6,1/10. Два месяца спустя, в начале апреля, Delicious Brains выпустила патч, устраняющий уязвимость, который также обновил плагин до версии 6.1.6. Администраторы, обеспокоенные атаками с использованием межсайтовых сценариев, должны убедиться, что их плагины обновлены до этой версии как можно скорее.
Из сообщения исследователей безопасности:
«Эта уязвимость позволяет любому неаутентифицированному пользователю украсть конфиденциальную информацию, в данном случае для повышения привилегий на сайте WordPress, обманом заставив привилегированного пользователя посетить созданный URL-адрес. Эта уязвимость может быть активирована при установке или настройке плагина Advanced Custom Fields по умолчанию. XSS также может быть запущена только от вошедших в систему пользователей, у которых есть доступ к плагину Advanced Custom Fields».
Startpack подготовил список сервисов и программ для работы с электронной почтой. На странице собраны бесплатные почтовые веб-сервисы, платные почтовые клиенты с защитой информации, органайзеры для работы с несколькими почтовыми ящиками. Подходят для использования в бизнесе или частным лицам. Инструменты представлены в виде веб-сервисов и приложений. Подходят для использования под всеми операционными системами. Приложения разворачиваются из облака или с сервера.
Статьи по теме
Комментариев пока не было