WordPress插件漏洞使“200万个网站”面临网络攻击的风险
据报道,由于 WordPress 的“高级自定义字段”插件中的一个漏洞导致超过200万用户面临网络攻击的风险。
据theregister报道,Patchstack 研究员 Rafie Muhammad 警告称, Advanced Custom Fields 和 Advanced Custom Fields Pro 版本的活跃安装量超过200万,这些插件用于让网站运营商更好地控制他们的内容和数据,例如编辑屏幕和自定义字段数据。
Patchstack 研究员 Rafie Muhammad于2月5日发现了该漏洞,并将其报告给 Advanced Custom Fields 的供应商 Delicious Brains,该公司去年从开发商 Elliot Condon 手中接管了该软件。
Delicious Brains 发布插件补丁版本一个月后,Patchstack 于5月5日发布了该漏洞的详细信息。建议用户至少将插件更新到6.1.6版本。
该漏洞被追踪为CVE-2023-30777CVSS ,严重性评分为6.1(满分10),使网站容易受到反射 XSS 攻击,这些攻击涉及不法分子将恶意代码注入网页。然后,代码会“反射”回来并在访问者的浏览器中执行。
也就是漏洞允许某人在另一个人的页面视图中运行 JavaScript,从而允许攻击者执行诸如从页面窃取信息、以用户身份执行操作等操作。如果访问者是登录的管理用户,那将是一个大问题,因为他们的帐户可能会被劫持,导致网站被不法分子操控。
Patchstack在其报告中写道:“这个漏洞允许任何未经认证的用户[窃取]敏感信息,在这种情况下,通过欺骗特权用户访问精心制作的URL路径,在WordPress网站上提升特权。”该机构补充道,“该漏洞可能会在高级自定义字段插件的默认安装或配置中触发。XSS也只能由有权访问高级自定义字段插件的登录用户触发。”
- 0000
- 0001
- 0000
- 0000
- 0000