ГлавнаябезопасностьKingComposer: исправляет ошибку XSS, влияющую на веб-сайты WordPress

KingComposer: исправляет ошибку XSS, влияющую на веб-сайты WordPress

В плагине KingComposer была исправлена ​​уязвимость межсайтового скриптинга (XSS), которая затрагивает 100.000 XNUMX веб-сайтов WordPress.

KingComposer - инструмент для переноса и раскрытия доменов на основе WordPress для устранения необходимости программирование или прямое кодирование сайтов, поддерживаемых системой управления контентом (CMS).

Команда Wordfence Threat Intelligence обнаружила ошибку XSS 25 июня. Он назвал это CVE-2020-15299 и присвоил рейтинг серьезности 6,1 - уязвимость безопасности была обнаружена в функциях Ajax, используемых плагином для облегчения создания. страница.

Одна из функций Ajax не была в активном использовании, но она все еще могла начаться, отправив запрос POST в скрипт с именем admin-ajax.php с параметром действия, установленным в kc_install_online_preset.

Код отображает JavaScript с помощью ряда параметров, которые затем расшифровываются с помощью base64.

Плагин KingComposer XSS WordPress

"Таким образом, если злоумышленник использовал шифрование base64 для вредоносных полезных данных и обманом заставил жертву отправить запрос, содержащий это полезная нагрузка В параметре kc-online-preset-data вредоносная полезная нагрузка была бы декодирована и выполнена в браузере жертвы », - говорят исследователи.

Обеспокоенные уязвимости XSS полагаются на жертву, чтобы выполнить определенное действие, чтобы вызвать атака, Это может быть достигнуто с помощью сервиса вредоносные ссылки на которую вы должны нажать, например, и в случае успеха это может привести к угон самолета браузер сессия или скачать и запустить вредоносных программ.

Команда Wordfence Threat Intelligence попыталась связаться с разработчиками плагинов на следующий день открытие из. Однако ответа не последовало, поэтому команда связалась с командой плагинов WordPress 25 июня. К 26 июня с разработчиками KingComposer связались, и 2.9.5 июня было выпущено обновление для плагина, версия 29.

Проблема безопасности была решена путем удаления уязвимой и устаревшей функции Ajax.

62,1% пользователей были обновлены до версии 2.9.5, поэтому 37,9% сайтов с поддержкой KingComposer по-прежнему подвержены риску эксплуатации.

ОСТАВЬТЕ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

Teo Ehc
Teo Ehchttps://www.secnews.gr
Будь ограниченным тиражом.
spot_img

ЖИВЫЕ НОВОСТИ