کشف باگ جدید خطرناک در وردپرس
طبق گزارش اخیر، یک باگ در دو پلاگین سفارشی وردپرس باعث آسیب پذیری کاربران در برابر حملات کراس اسکریپت (XSS) میشود.
این باگ با نام CVE-2023-30777 در تاریخ ۲ می کشف شد و به عنوان یک آسیب پذیری خطرناک شناخته شد. شرکت سازنده پلاگین، WP Engine، پس از مطلع شدن از این آسیب پذیری، در عرض چند روز به آپدیت امنیتی نسخه ۶.۱.۶ را توضیع کردند.
این پلاگین فیلدساز سفارشی محبوب به کاربران اجازه میدهد تا با استفاده از صفحات ویرایش وردپرس، دادههای فیلد سفارشی و سایر ویژگیها، بر سیستم مدیریت محتوای خود کنترل کاملی داشته باشند.
به گفته Bleeping Computer، باگهای XSS به شیوهای قابل مشاهده در جلوی سایت اتفاق میافتند و با تزریق “اسکریپتهای مخرب در وب سایتهای دیده شده توسط دیگران” عمل میکنند که در نتیجه منجر به اجرای کد در مرورگر بازدیدکننده میشود.
جزئیات در مورد آسیب پذیری XSS نشان میدهد که این باگ ممکن است به وسیله “نصب و پیکربندی پیشفرض پلاگین Advanced Custom Fields” فعال شود. با این حال، برای فعال شدن این باگ، کاربران باید در ابتدا دسترسی به پلاگین Advanced Custom Fields را داشته باشند، به این معنی که فردی باید با کلاهبرداری از فردی دیگر با داشتن دسترسی، این باگ را فعال کند، یا با تلاش خود برای رسیدن به دسترسی لازم اقدام کند.
اصلاح نسخه 6.1.6 تله موجود در admin_body_class را نشان داد که مانع از اجرای حمله XSS می شود.
کاربران باید پلاگینهای Advanced Custom Fields و Advanced Custom Fields Pro به نسخه ۶.۱.۶ یا بالاتر از آن ارتقا دهند. بسیاری از کاربران هنوز هم مستعد حملات هستند، (تقریباً 72.1 درصد کاربران پلاگین WordPress.org، که نسخههای کمتر از 6.1 را استفاده میکنند.). این باعث آسیبپذیر شدن وب سایتهای آنها نه تنها در برابر حملات XSS بلکه در برابر آسیبهای دیگر نیز میشود.
اولین دیدگاه را ثبت کنید