WordPress обнаруживает уязвимость XSS — рекомендует обновиться до версии 6.5.2 • Продвижение Web 2.0

WordPress анонсировал обновление 6.5.2 для обслуживания и безопасности, которое исправляет уязвимость межсайтового скриптинга магазина и исправляет более десятка ошибок в ядре и редакторе блоков.

Одна и та же уязвимость затрагивает как ядро WordPress, так и плагин Gutenberg.

Межсайтовый скриптинг (XSS)

В WordPress была обнаружена уязвимость XSS, которая может позволить злоумышленнику внедрить скрипты на веб-сайт, которые затем атакуют посетителей сайта на этих страницах.

Существует три типа уязвимостей XSS, но наиболее часто обнаруживаемые в плагинах WordPress, темах и самом WordPress — это отраженный XSS и сохраненный XSS.

Отраженный XSS требует, чтобы жертва щелкнула ссылку — дополнительный шаг, который усложняет запуск такого рода атаки.

Сохраненный XSS является более тревожным вариантом, поскольку он использует уязвимость, позволяющую злоумышленнику загрузить на уязвимый сайт скрипт, который затем может начать атаку на посетителей сайта. Уязвимость, обнаруженная в WordPress, представляет собой сохраненный XSS.

Сама угроза в определенной степени снижается, поскольку это аутентифицированный сохраненный XSS, а это означает, что злоумышленнику необходимо сначала получить разрешения как минимум на уровне участника, чтобы использовать недостаток веб-сайта, который делает уязвимость возможной.

Эта уязвимость оценена как угроза среднего уровня и получила оценку Common Vulnerability Scoring System (CVSS) 6,4 по шкале от 1 до 10.

Wordfence описывает уязвимость:

«WordPress Core уязвим для хранимых межсайтовых сценариев через отображаемые имена пользователей в блоке «Аватар» в различных версиях до 6.5.2 из-за недостаточного экранирования вывода в отображаемом имени. Это позволяет злоумышленникам, прошедшим проверку подлинности, с доступом на уровне участника и выше, внедрять произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь обращается к внедренной странице».

WordPress.org рекомендует немедленно обновиться

Официальное объявление WordPress рекомендовало пользователям обновить свои установки, написав:

«Поскольку это версия безопасности, рекомендуется немедленно обновить свои сайты. Резервные порты также доступны для других основных выпусков WordPress, 6.1 и более поздних версий».

Прочтите рекомендации Wordfence:

ЧИТАТЬ Устанавливает ли Google минимальное количество слов на веб-сайтах?

Ядро WordPress <6.5.2 — аутентифицированный (участник+) сохраненный межсайтовый скриптинг через блок аватара

Gutenberg 12.9.0 – 18.0.0 – Аутентифицированный (Contributor+) Сохраненный межсайтовый скриптинг через блок аватара

Прочтите официальное объявление WordPress.org:

Обновление поддержки и безопасности WordPress 6.5.2

Рекомендованное изображение: Shutterstock/ivan_kislitsin

Source link