
Новый ошибка одним щелчком мыши, который был обнаружен в дополнении В режиме реального времени найти и заменить, позволяет Хакеры вводить вредоносный код на сайты и создавать поддельные учетные записи администраторов. Владельцы сайтов WordPress рекомендуется, чтобы они немедленно уведомили надстройку, чтобы они оставались в безопасности.
Ошибка, которая одна Подделка межсайтовых запросов (CSRF), может привести к атакам Сохраненные межсайтовые сценарии (Хранится XSS). Влияет на все версии Real-Time Find and Replace, вплоть до 3.9.
Вредоносные агенты могут обмануть законного владельца веб-сайта и импортировать вредоносное ПО. JavaScript на его счет, просто нажав на ссылку, которую он найдет в заблуждение e-mail или комментарий.
Плагин WordPress Real-Time Find and Replace особенно полезен, поскольку он позволяет пользователю временно заменять текст или код в режиме реального времени без необходимости вводить исходный код сайта и вносить постоянные изменения. Это дополнение установлено на более чем 100.000 XNUMX сайты.
Импорт вредоносного кода
Как сообщается в доклад Хлоя Чемберленд, аналитик в Wordfence, одна хакер он может использовать возможности надстройки для вставки вредоносного кода на сайт и изменения его содержимого.
По словам Чемберленда, этот код JavaScript будет выполняться автоматически «всякий раз, когда пользователь переходит на веб-страницу, содержащую исходный контент».

Например, захватчики могут злоупотреблять этим уязвимость заменить HTML-тег как > своим вредоносным кодом. Это приведет к тому, что почти все зараженные страницы сайта WordPress будут превращены в вредоносное ПО.
Затем вредоносный код может быть «использован для входа в новую учетную запись администратора, кражи файлов cookie или перенаправления пользователей на вредоносный веб-сайт, позволяя злоумышленникам получить доступ администратора или заразить невинных посетителей, просматривающих сайт-нарушитель». веб-сайт », говорится в отчете Чемберленда.
Η уязвимость был обнаружен и зарегистрирован 22 апреля. Wordfence оценил этот недостаток безопасности с CVSS 8,8, что делает его очень серьезным, и обязательно, чтобы пользователи обновились до версии 4.0.2, которая полностью исправляет ошибку.