Вторник, 27 октября, 17:26
дома безопасность KingComposer: исправляет ошибку XSS, влияющую на веб-сайты WordPress

KingComposer: исправляет ошибку XSS, влияющую на веб-сайты WordPress

В плагине KingComposer была исправлена ​​уязвимость межсайтового скриптинга (XSS), которая затрагивает 100.000 XNUMX веб-сайтов WordPress.

KingComposer - инструмент для переноса и раскрытия доменов на основе WordPress для устранения необходимости программирование или прямое кодирование сайтов, поддерживаемых системой управления контентом (CMS).

Команда Wordfence Threat Intelligence обнаружила ошибку XSS 25 июня. Он назвал это CVE-2020-15299 и присвоил рейтинг серьезности 6,1 - уязвимость безопасности была обнаружена в функциях Ajax, используемых плагином для облегчения создания. страница.

Одна из функций Ajax не была в активном использовании, но она все еще могла начаться, отправив запрос POST в скрипт с именем admin-ajax.php с параметром действия, установленным в kc_install_online_preset.

Код отображает JavaScript с помощью ряда параметров, которые затем расшифровываются с помощью base64.

Плагин KingComposer XSS WordPress

"Таким образом, если злоумышленник использовал шифрование base64 для вредоносных полезных данных и обманом заставил жертву отправить запрос, содержащий это полезная нагрузка В параметре kc-online-preset-data вредоносная полезная нагрузка была бы декодирована и выполнена в браузере жертвы », - говорят исследователи.

Обеспокоенные уязвимости XSS полагаются на жертву, чтобы выполнить определенное действие, чтобы вызвать атака, Это может быть достигнуто с помощью сервиса вредоносные ссылки на которую вы должны нажать, например, и в случае успеха это может привести к угон самолета браузер сессия или скачать и запустить вредоносных программ.

Команда Wordfence Threat Intelligence попыталась связаться с разработчиками плагинов на следующий день открытие из. Однако ответа не последовало, поэтому команда связалась с командой плагинов WordPress 25 июня. К 26 июня с разработчиками KingComposer связались, и 2.9.5 июня было выпущено обновление для плагина, версия 29.

Проблема безопасности была решена путем удаления уязвимой и устаревшей функции Ajax.

62,1% пользователей были обновлены до версии 2.9.5, поэтому 37,9% сайтов с поддержкой KingComposer по-прежнему подвержены риску эксплуатации.

ОСТАВИТЬ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

Teo Ehc
Teo Ehchttps://www.secnews.gr
Будь ограниченным тиражом.

ЖИВЫЕ НОВОСТИ

Пять крупнейших утечек данных в 21 веке

Данные становятся все более и более востребованными, поскольку наша повседневная жизнь становится все более цифровой. Технологические гиганты, монополизирующие данные, - это ...

Microsoft ограничивает доступность Windows 10 20H2

В настоящее время Microsoft ограничивает доступность Windows 10 20H2, чтобы предоставить всем пользователям, которые хотят ...

Как включить новую функцию Chrome Подробнее

Последняя версия браузера Google Chrome v86, выпущенная ранее в этом месяце, содержит секретную функцию под названием Read ...

Как выбрать собственный цвет для меню Пуск

Начиная с обновления за октябрь 2020 года, Windows 10 по умолчанию используется в теме, которая удаляет яркие цвета из ...

Телескоп НАСА обнаружил питьевую воду на Луне

Одиннадцать лет назад космический корабль навсегда изменил наш взгляд на Луну. Данные, собранные ...

Microsoft: расширяет возможности обнаружения атак с использованием паролей.

Microsoft значительно улучшила способность обнаруживать атаки со спреем паролей в Azure Active Directory (Azure AD) и достигла точки ...

Как не дать компаниям найти наш номер телефона

В эпоху рекламы чем больше известно о пользователях, тем удобнее для компаний. И, в частности, ...

Нарушение в психотерапевтической клинике привело к шантажу пациентов

Два года назад в финской психотерапевтической клинике произошла кибератака, которая привела к краже данных и требованию выкупа. Сейчас,...

Австралия: повышает кибербезопасность и конфиденциальность!

Правительство Нового Южного Уэльса в Австралии создало целевую группу по укреплению кибербезопасности и защиты ...

Более 100 ирригационных систем остались в сети.

В прошлом месяце более 100 умных ирригационных систем остались без пароля в Интернете, что позволило любому получить доступ ...