Güvenlik araştırmacıları, 'Gelişmiş Özel Alanlar' ve 'Gelişmiş Özel Fields Pro' WordPress eklentilerinin, milyonlarca kurulumla, siteler arası komut dosyaları (XSS) için savunmasız olduğu konusunda uyarıyor.
İki eklenti, dünya çapında sitelerde 2.000.000 aktif kurulum ile WordPress'in en popüler özel saha inşaatçıları arasında yer alıyor.
Patchstack'in araştırmacısı Rafie Muhammad, 2 Mayıs 2023'te CVE-2023-30777 tanımlayıcısı atanan yüksek şiddetli yansıtılan XSS güvenlik açığını keşfetti.
XSS hataları genellikle saldırganların başkaları tarafından görüntülenen web sitelerinde kötü amaçlı komut dosyaları enjekte etmesine izin verir ve bu da ziyaretçinin web tarayıcısında kodun yürütülmesine neden olur.
Patchstack, XSS kusurunun kimlik doğrulanmamış bir saldırganın hassas bilgileri çalmasına ve etkilenen bir WordPress sitesinde ayrıcalıklarını artırmasına izin verebileceğini söylüyor.
"Bu güvenlik açığının gelişmiş özel alan eklentisinin varsayılan kurulumunda veya yapılandırmasında tetiklenebileceğini unutmayın."
"XSS ayrıca yalnızca Gelişmiş Özel Alanlar eklentisine erişimi olan oturum açmış kullanıcılardan da tetiklenebilir."
Bu, kimliği doğrulanmamış saldırganın, kusuru tetiklemek için kötü amaçlı bir URL'yi ziyaret etmek için eklentiye erişimi olan birini sosyal mühendislik yapması gerektiği anlamına gelir.
Eklentinin geliştiricisi, PatchTack'in keşfi üzerine sorundan haberdar edildi ve 4 Mayıs 2023'te 6.1.6 sürümünde bir güvenlik güncellemesi yayınladı.
CVE-2023-30777 Kusur, WordPress'lerin ana gövde etiketini kontrol eden ve filtreleyen bir kancanın çıkış değerini düzgün bir şekilde sörfize edemeyen 'Admin_body_class' fonksiyon işleyicisinden kaynaklanmaktadır. Siteler.
Bir saldırgan, son ürüne, bir sınıf dizesine geçecek bileşenlerine zararlı kod (DOM XSS yükleri) eklemek için eklentinin kodunda, özellikle '$ this → görünüm' değişkeninden güvenli olmayan bir doğrudan kod birleştirmesinden yararlanabilir.
Eklenti tarafından kullanılan temizleme işlevi, 'sendize_text_field', kötü amaçlı kod enjeksiyonunu yakalamayacağı için saldırıyı durdurmayacaktır.
Geliştirici, 'ESC_ATTR' adlı yeni bir işlev uygulayarak, admin_body_class kancasının çıktı değerini düzgün bir şekilde dezenfekte eden ve dolayısıyla XSS'yi önleyen yeni bir işlev uygulayarak 6.1.6 sürümündeki kusuru düzeltti.
'Gelişmiş Özel Alanlar' ve 'Gelişmiş Özel Fields Pro' kullanıcılarının 6.1.6 sürümüne veya daha sonraki sürümlerine yükseltmeleri önerilir.
WordPress.org İndir İstatistiklerine dayanarak, eklenti kullanıcılarının% 72.1'i hala 6.1'in altındaki sürümleri kullanıyor ve bu da XSS ve diğer bilinen kusurlara karşı savunmasız.
Hackerlar Elementor Pro WordPress eklentisinde BUGU BUGU
Cisco, sunucu yönetimi aracında XSS sıfır gün kusurunu açıklar
Prestashop, herhangi bir arka uç kullanıcının veritabanlarını silmesini sağlayan hatayı düzeltir
Saldırganlar Backdoor web sitelerine terk edilmiş WordPress eklentisini kullanıyor
2017'den beri WordPress sitelerine saldıran büyük Balada enjektör kampanyası
Kaynak: Bleeping Computer