Sårbarhet i WP Bakery WordPress-Plugin Påverkar över 4 Miljoner Webbplatser

oktober 8, 2020
De-4-bästa-ramarna-för-apputveckling-2020
De 4 Bästa Ramarna För apputveckling 2020
oktober 7, 2020
Användbara tips för effektiv Instagram-marknadsföring 2020
Användbara Tips För Effektiv Instagram-Marknadsföring 2020
oktober 9, 2020
Sårbarhet i WP Bakery WordPress-Plugin Påverkar över 4 Miljoner Webbplatser

Sårbarhet i WP Bakery WordPress-Plugin Påverkar över 4 Miljoner Webbplatser

Analytiker fann sårbarhet i WP Bakery-sidbyggare som gör det möjligt för en angripare att injicera skadlig JavaScript i sidor och inlägg. Sårbarheten gör det möjligt för en angripare att injicera kod på sidor och inlägg som sedan attackerar webbläsare.

Autentiserad lagrad cross-site scripting (XSS) sårbarhet

Skriptsårbarhet över flera platser beskrivs av en angripare som får förmågan att rikta sig till besökarnas webbläsare genom att använda skadliga skript som placerats hemligt på en webbplats.

XSS-attacker är bland de vanligaste typerna av sårbarheter.

Den här specifika attacken kallas en autentiserad lagrad säkerhetsproblem över webbplatsen. En lagrad XSS-sårbarhet är ett där ett skript placeras på själva webbplatsen av en angripare.

Men det här är Authenticated Stored XSS-sårbarhet, vilket betyder att angriparen måste ha autentiseringsuppgifter för att kunna utföra attacken.

WP Bakery Authenticated Lagrad XSS-svaghet

Denna speciella sårbarhet i WP Bakery kräver att angriparen får bidrags- eller skaparnivå som skickar inloggningsuppgifter till en webbplats.

När en angripare har referenser kan de injicera skript på alla inlägg eller sidor. Det gör det också möjligt för angriparen att ändra inlägg från andra användare.

Denna sårbarhet bestod av flera brister.

Bristerna möjliggjorde injicering av HTML och JavaScript i ett användarinlägg eller sidor och även andra författares. Det fanns också en annan defekt som riktade sig mot knappar som hade en JavaScript-funktionalitet kopplad till sig.

Enligt WordFence:

”Plugin hade också anpassad onclick-funktionalitet för knappar. Detta gjorde det möjligt för en angripare att injicera skadlig JavaScript i en knapp som skulle köras med ett klick på knappen. Dessutom kunde användare av bidragsgivare och författarnivå använda vc_raw_js, vc_raw_html och knappen med hjälp av anpassade kortkoder för att lägga till skadlig JavaScript i inlägg. ”

WP Bakery Page Builder 6.4 och Under påverkas

Sårbarheten hittades i slutet av juli 2020. WP Bakery gav en fix i slutet av augusti men andra problem kvarstod faktiskt, inklusive i en andra patch som utfärdades i början av september.

Den sista korrigeringen som stängde sårbarheten utfärdades den 24 september 2020.

Plugin-programvaruutvecklare publicerar en ändringslogg. Ändringslogginnehållet är det som visas i WordPress admin-plugin-området som kommunicerar vad en uppdatering handlar om.

Tragiskt nog återspeglar inte WP Bakerys förändringslogg uppdateringens brådska eftersom den inte uttryckligen säger att den fixar sårbarhet. Ändringsloggen hänvisar till sårbarhetsplåster som förbättringar.

Pluginprogrammet WP Bakery Page Builder ingår ofta i teman. Förläggare bör kontrollera sina plugins och se till att de har den senaste och säkraste versionen som är 6.4.1.

Vi på CodeLedge är Sveriges bästa WordPress-utvecklare. Vi är experterna på att utveckla kreativa WordPress-webbplatser med effektiv sidhastighetshastighet. Prata gärna med oss ​​på hi@codeledge.com eller få en offert härifrån.

Lämna ett svar

E-postadressen publiceras inte. Obligatoriska fält är märkta *

Translate »