- 13,858
- 20
- 8 Ноя 2022
Исправленная ошибка использовала посетителей сайта как индикатор активации скрипта.
Плагин Accelerated Mobile Pages ( AMP ) для WordPress , используемый более чем на 100 000 сайтах, недавно исправил уязвимость , позволявшую злоумышленнику внедрять вредоносные скрипты, которые активировались при посещении сайта пользователями.
Проблема заключалась в уязвимости межсайтового скриптинга (Cross Site Scripting, XSS ) через шорткоды ( Для просмотра ссылки Войдиили Зарегистрируйся , CVSS: 6.5). В WordPress плагины могут столкнуться с такими уязвимостями, если они не обеспечивают адекватную проверку или очистку пользовательских данных от лишних элементов.
Очистка вводимых данных (Санитизация) – это процесс блокировки или фильтрации нежелательных типов данных, например, когда плагин позволяет добавлять текст через поле ввода, но не фильтрует другие типы вводимых данных, такие как скрипты или ZIP-файлы.
Шорткоды в WordPress — это функционал, позволяющий пользователям вставлять специальные теги ([пример]) в тексты постов и страниц. Шорткоды активируют определенные функции или содержимое плагинов, и упрощают настройку плагина через административную панель.
Обнаруженная уязвимость позволяла атакующим вставлять вредоносные скрипты на сайт через механизм шорткодов плагина, что могло привести к автоматическому перенаправлению или показу рекламы во время того, когда пользователи посещают сайт.
ИБ-компания Patchstack сообщила, что Для просмотра ссылки Войдиили Зарегистрируйся в версии плагина 1.0.89. Отмечается, что версии до 1.0.88.1 включительно содержали недостаточную санацию и экранирование пользовательских данных, что и привело к возникновению уязвимости.
Компания Wordfence, специализирующаяся на безопасности WordPress, подчеркивает, Для просмотра ссылки Войдиили Зарегистрируйся уязвимости требуется наличие у злоумышленника прав на уровне участника (contributor) сайта или выше. Пользователям советуют обновить плагин до версии 1.0.89 или выше для обеспечения безопасности.
Плагин Accelerated Mobile Pages ( AMP ) для WordPress , используемый более чем на 100 000 сайтах, недавно исправил уязвимость , позволявшую злоумышленнику внедрять вредоносные скрипты, которые активировались при посещении сайта пользователями.
Проблема заключалась в уязвимости межсайтового скриптинга (Cross Site Scripting, XSS ) через шорткоды ( Для просмотра ссылки Войди
Очистка вводимых данных (Санитизация) – это процесс блокировки или фильтрации нежелательных типов данных, например, когда плагин позволяет добавлять текст через поле ввода, но не фильтрует другие типы вводимых данных, такие как скрипты или ZIP-файлы.
Шорткоды в WordPress — это функционал, позволяющий пользователям вставлять специальные теги ([пример]) в тексты постов и страниц. Шорткоды активируют определенные функции или содержимое плагинов, и упрощают настройку плагина через административную панель.
Обнаруженная уязвимость позволяла атакующим вставлять вредоносные скрипты на сайт через механизм шорткодов плагина, что могло привести к автоматическому перенаправлению или показу рекламы во время того, когда пользователи посещают сайт.
ИБ-компания Patchstack сообщила, что Для просмотра ссылки Войди
Компания Wordfence, специализирующаяся на безопасности WordPress, подчеркивает, Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru
