Alarmi po bie për miliona faqe interneti të bazuara në WordPress: pas fushatës së malware Balada Injector, shërbimi i famshëm goditet nga një defekt në lidhje me një nga plugin-et më të përdorura në botë. Kjo dobësi, e zbuluar nga studiuesi i Patchstack, Rafie Muhammad, do t’i lejonte njerëzit me qëllim të keq të hapnin një portal me këtë mjet dhe të kryenin sulme XSS, ose skriptime në faqe, për të futur kodin keqdashës në faqet e internetit dhe, për rrjedhojë, brenda shfletuesve të përdoruesve.
WordPress: Alarmi për Advanced Custom Fields
Dobësia e plug-in-it në fjalë u identifikua më 2 maj, por, me zgjuarsi, furnizuesi Delicious Brains lëshoi menjëherë përditësimin për të rregulluar problemin. I identifikuar si CVE-2023-30777, defekti ka një rezultat serioz prej 6.1 nga 10, pasi lejon një sulmues të ekzekutojë JavaScript brenda një pamjeje faqeje, duke vjedhur informacione dhe duke kryer veprime si përdorues, duke përfshirë administratorët.
Me fjalë të tjera, një sulmues në fakt mund të rrëmbejë një llogari për të marrë kontrollin e saj. Siç pretendon Patchstack, dobësia lejon këdo të vjedhë të dhëna të ndjeshme përmes përshkallëzimit të privilegjeve në faqen e WordPress.
Duke hyrë në detaje, e meta do të shfrytëzonte një gabim në kontrollin e funksionit “admin_body_class”, duke lejuar përfundimisht hyrjen në sajt dhe shtimin e kodit me qëllim të keq, duke përfshirë ridrejtimet, reklamat dhe ngarkesat e tjera HTML.
Në përgjithësi, bëhet fjalë për 2 milionë faqe interneti në rrezik, të cilat kërkojnë përditësimin e shpejtë të plug-in-it për të mbrojtur përdoruesit dhe më shumë: në fund të fundit, edhe të dhënat e ndjeshme të administratorëve janë në rrezik. Nëse keni gjithashtu një sajt WordPress me Advanced Custom Fields,, përditësoni në versionin më të fundit të disponueshëm për shkarkim sa më shpejt të jetë e mundur.
Discussion about this post