Patchstack 的研究员 Rafie Muhammad 发现了一个高严重性的反射型 XSS 漏洞,其分配的标识符为 CVE-30777-2。据了解,Advanced Custom Fields及其付费版本Advanced Custom Fields Pro WordPress插件容易受到跨站点脚本攻击,这意味着超过<>万个WordPress网站受到威胁。
高级自定义字段插件有什么作用?
高级自定义字段插件允许站点管理员轻松地将字段添加到其WordPress页面或其他站点元素。因此,如此庞大的WordPress用户在其网站上安装了此插件的版本也就不足为奇了。
考虑到这两个插件是WordPress最受欢迎的自定义字段构建器,这一消息在社区中引起了一些严重的轰动,并再次将注意力转向安全性,日常更新和数字安全的重要性。
什么是 XSS 错误?
跨站点脚本 (XSS) 错误通常通过允许攻击者在网站上注入恶意脚本来工作,这会导致恶意代码在网站访问者的 Web 浏览器上执行。根据Patchstack公告,XSS只能从已经有权访问高级自定义字段插件的登录用户触发。这意味着攻击者仍然需要对有权访问插件的访问者进行社会工程才能触发该漏洞。
如果成功,这可能会导致任意数量的网络犯罪,包括但不限于窃取敏感信息、接管受影响的 WordPress 网站、重定向或其他 HTML 有效负载。
虽然大多数人每天都会访问或管理网站,但大多数人都忽视了勤奋数字安全的重要性。这包括更新插件,如本文中讨论的XSS漏洞所强调的那样,等等。
所有
网站开发人员都必须在其网站和日常生活中实施网络安全工具,这一点至关重要。最简单的方法是获得涵盖网络安全基础知识的VPN——隐藏您的IP地址,设置屏障以防止未经授权的攻击者获取您的个人数据,并为设备创建安全网络以实现安全的文件共享过程。
幸运的是,前面提到的Patchstack研究人员在一个配置为WordPress钩子的额外处理程序(“admin_body_class”函数处理程序)的函数中捕获了流程,该钩子控制WordPress网站管理区域中主体标签的设计和布局。根据 Patchstack 的说法,该漏洞是由于函数处理程序未能正确清理钩子的输出值造成的。
令WordPress用户松了一口气的是,该漏洞现已在插件的6.16版本中得到修复,该插件现在有一个新的功能名称“esc-attr”。在更新的版本中,该函数正确清理了admin_body_class钩子的输出值,这意味着使用此插件的网站不必担心如果拥有最新版本的插件,则容易受到 XSS 的攻击。
我们对网络安全的思考差距
建议所有高级自定义字段“和”高级自定义字段专业版“用户立即升级到新版本。但是,根据 WordPress.org 统计数据,超过70%的插件用户仍在使用以前的版本,这突显了在线传播有关最佳安全实践知识的持续需求的重要性。
如果有的话,WordPress的事件向我们表明,在网络安全和保护我们的数字空间和网站方面,我们大多数人还有很长的路要走。
本文地址:
http://www.njanyou.cn/web/6823.html
Tag:
专业服务:
南京网站制作,
南京网站制作公司,
南京网站建设公司
联系电话:025-65016872
上一篇:
迈向更快职业发展的九个小而有力的步骤——无论您的年龄如何
下一篇:
如何提高客户对您网站的信任
