یک منعکس cross-site scripting (XSS) آسیب پذیری تأثیر 100,000 وب سایت شده و وصله در KingComposer پلاگین وردپرس.
KingComposer یک کشیدن و رها کردن صفحه ساز برای وردپرس-بر اساس دامنه که حذف نیاز به برنامه یا به طور مستقیم در کد های وب سایت های طراحی شده توسط این سیستم مدیریت محتوا (CMS).
همچنین نگاه کنید به: محققان اتصال Evilnum هک گروه به حملات سایبری علیه Fintech شرکت
این Wordfence هوش تهدید تیم کشف باگ XSS در ژوئن 25. ردیابی به عنوان CVE-2020-15299 و صادر شدت نمره 6.1, نقص امنیتی داشت در توابع Ajax استفاده شده توسط این افزونه به منظور تسهیل در صفحه سازنده, ویژگی های.
یکی از توابع Ajax شد استفاده نمیشود اما هنوز هم می تواند راه اندازی می شود با ارسال درخواست POST به یک اسکریپت به نام admin-ajax.php با یک اکشن مجموعه پارامتر به kc_install_online_preset.
عملکرد کدها جاوا اسکریپت در سراسر تنوع از پارامترهای که پس از base64-رمزگشایی.
"به این ترتیب اگر یک مهاجم با استفاده از base64-رمزگذاری بر روی یک برنامه مفید و فریب قربانی به ارسال درخواست حاوی این بار در kc-آنلاین-از پیش تعیین شده-داده های پارامتر های مخرب مفید خواهد بود رمزگشایی و اجرا در مرورگر قربانی را" محققان می گویند.
CNET: چین با هدف تسلط بر همه چیز از 5G به رسانه های اجتماعی -- اما آن را ؟
Reflected XSS آسیب پذیری تکیه بر یک قربانی برای انجام یک عمل خاص به یک حمله را آغاز کند. این را می توان با خدمت به لینک های مخرب که نیاز به کلیک بر, برای مثال, و اگر موفق می تواند منجر به مرورگر ربودن جلسه و یا تروجان ها ، دانلود و اعدام است.
این Wordfence هوش تهدید تیم در تلاش برای تماس با توسعه دهندگان این افزونه یک روز پس از کشف کنند. اما هیچ پاسخ وجود دارد منجر به این تیم در رسیدن به طور مستقیم به وردپرس پلاگین تیم در ژوئن 25. ژوئن 26, تماس ساخته شده بود با KingComposer توسعه دهندگان و patched نسخه از این پلاگین نسخه 2.9.5 در ماه ژوئن منتشر شد 29.
TechRepublic: بالاترین پرداخت tech jobs: که در آن به آنها را پیدا کنید
امنیت مسئله حل شد با از بین بردن آسیب پذیر و منسوخ تابع Ajax.
در زمان نوشتن 62.1 درصد از کاربران به روز رسانی به نسخه 2.9.5 و پس از 37.9 درصد از وب سایت های با KingComposer فعال هستند هنوز هم در خطر از بهره برداری.
قبلی و مرتبط با پوشش
یک نکته? در تماس ایمن از طریق واتساپ | سیگنال در +447713 025 499 یا بیش در Keybase: charlie0
tinyurlis.gdv.gdv.htclck.ruulvis.netshrtco.de
مقالات مشابه
- محرک مقدار چک مدارک برنامه پرداخت آخرین مهلت: همه چیز را بدانید - CNET
- شرکت صادرات و واردات کالاهای مختلف از جمله کاشی و سرامیک و ارائه دهنده خدمات ترانزیت و بارگیری دریایی و ریلی و ترخیص کالا برای کشورهای مختلف از جمله روسیه و کشورهای حوزه cis و سایر نقاط جهان - بازرگانی علی قانعی
- راز نهایی برج خنک کننده
- شیرین سس کره
- شنا می آید به Animal Crossing: New Horizons - CNET
- شرکت صادرات و واردات کالاهای مختلف از جمله کاشی و سرامیک و ارائه دهنده خدمات ترانزیت و بارگیری دریایی و ریلی و ترخیص کالا برای کشورهای مختلف از جمله روسیه و کشورهای حوزه cis و سایر نقاط جهان - بازرگانی علی قانعی
- استرالیا در گزارش آینده agtech به زودی
- شرکت صادرات و واردات کالاهای مختلف از جمله کاشی و سرامیک و ارائه دهنده خدمات ترانزیت و بارگیری دریایی و ریلی و ترخیص کالا برای کشورهای مختلف از جمله روسیه و کشورهای حوزه cis و سایر نقاط جهان - بازرگانی علی قانعی
- Your Weakest Hyperlink: Use It To Cosmetic Factory China
- Auntie Anne's Soft Pretzels