یک باگ جدید وردپرس ممکن است ۲ میلیون سایت را آسیب پذیر کرده باشد

طبق گزارش اخیر، نقص در دو افزونه سفارشی وردپرس، کاربران را در برابر حملات اسکریپت بین سایتی (XSS) آسیب پذیر می کند.

محقق Patchstack، Rafie Muhammad اخیراً یک نقص XSS را در آن کشف کرده است زمینه های سفارشی پیشرفته و Advanced Custom Fields Pro طبق گفته Bleeping Computer، افزونه هایی که به طور فعال توسط بیش از 2 میلیون کاربر در سراسر جهان نصب می شوند.

این آسیب‌پذیری که CVE-2023-30777 نام دارد، در 2 می کشف شد و درجه‌ی شدت بالایی به آن داده شد. توسعه‌دهنده این افزونه، WP Engine، به‌سرعت به‌روزرسانی امنیتی نسخه 6.1.6 را ظرف چند روز پس از اطلاع از آسیب‌پذیری، در 4 می ارائه کرد.

سازندگان فیلد سفارشی محبوب به کاربران اجازه می‌دهند تا با صفحه‌های ویرایش وردپرس، داده‌های فیلد سفارشی و سایر ویژگی‌ها، کنترل کاملی بر سیستم مدیریت محتوای خود از باطن داشته باشند.

Bleeping Computer افزود، با این حال، اشکالات XSS را می توان از جلو مشاهده کرد و با تزریق “اسکریپت های مخرب به وب سایت هایی که توسط دیگران مشاهده می شود، که منجر به اجرای کد در مرورگر وب بازدید کننده می شود، کار می کنند.”

Patchstack خاطرنشان کرد که این می تواند بازدیدکنندگان وب سایت را در معرض سرقت داده های آنها توسط سایت های وردپرس آلوده قرار دهد.

مشخصات آسیب‌پذیری XSS نشان می‌دهد که می‌تواند توسط «نصب یا پیکربندی پیش‌فرض افزونه Advanced Custom Fields» راه‌اندازی شود. محققان افزودند، با این حال، کاربران باید در وهله اول به پلاگین Advanced Custom Fields دسترسی داشته باشند تا آن را فعال کنند، به این معنی که یک بازیگر بد باید کسی را که دسترسی دارد فریب دهد تا راه گریز را ایجاد کند.

نقص CVE-2023-30777 را می توان در آن یافت admin_body_class کنترل کننده تابع که یک بازیگر بد می تواند کد مخرب را به آن تزریق کند. به ویژه، این باگ محموله‌های DOM XSS را به کدهای نادرست وارد می‌کند که توسط خروجی پاک‌سازی کد، نوعی اقدام امنیتی که بخشی از نشت است، دستگیر نمی‌شوند.

پچ نسخه 6.1.6 معرفی شد قلاب admin_body_class, که توانایی اجرای حمله XSS را مسدود می کند.

کاربران از زمینه های سفارشی پیشرفته و Advanced Custom Fields Pro باید افزونه ها را به نسخه 6.1.6 یا بالاتر ارتقا دهید. بسیاری از کاربران در برابر حملات آسیب پذیر هستند و تقریباً 72.1٪ از کاربران افزونه WordPress.org نسخه های زیر 6.1 را اجرا می کنند. در این پست آمده است که این امر باعث می شود وب سایت های آنها نه تنها در برابر حملات XSS بلکه در برابر سایر نقص های ماهیت آسیب پذیر باشند.

توصیه های سردبیران