HomeSecurityKingComposer: Διορθώνει σφάλμα XSS που επηρεάζει WordPress websites

KingComposer: Διορθώνει σφάλμα XSS που επηρεάζει WordPress websites

Μια ευπάθεια cross-site scripting (XSS) που επηρεάζει 100.000 WordPress websites έχει διορθωθεί στο plugin KingComposer.

Το KingComposer είναι ένα εργαλείο δημιουργίας σελίδων μεταφοράς και απόθεσης για domain που βασίζονται σε WordPress και καταργεί την ανάγκη προγραμματισμού ή απευθείας κωδικοποίησης ιστότοπων που υποστηρίζονται από το σύστημα διαχείρισης περιεχομένου (CMS).

Η ομάδα Wordfence Threat Intelligence ανακάλυψε το σφάλμα XSS στις 25 Ιουνίου. Το ανέφερε ως CVE-2020-15299 και εξέδωσε βαθμολογία σοβαρότητας 6,1 – το ελάττωμα ασφαλείας εντοπίστηκε στις λειτουργίες Ajax που χρησιμοποιεί το plugin για να διευκολύνει τις δυνατότητες δημιουργίας σελίδων.

Μία από τις λειτουργίες του Ajax δεν ήταν σε ενεργή χρήση, αλλά θα μπορούσε ακόμη να ξεκινήσει στέλνοντας ένα αίτημα POST σε ένα script που ονομάζεται admin-ajax.php με μια παράμετρο δράσης ρυθμισμένη στο kc_install_online_preset.

#secnews #asteroid 

Τεράστιος δυνητικά επικίνδυνος αστεροειδής πλησιάζει τη Γη. Ένας "δυνητικά επικίνδυνος" αστεροειδής στο μέγεθος ενός γηπέδου ποδοσφαίρου θα περάσει κοντά στον πλανήτη μας τις πρώτες πρωινές ώρες αύριο (4 Δεκεμβρίου) — και μπορείτε να τον παρακολουθήσετε ζωντανά. Ο γιγαντιαίος διαστημικός βράχος, γνωστός ως 2020 XR, ο οποίος ταξιδεύει με περίπου 44.300 χιλιόμετρα την ώρα, θα φτάσει στην ελάχιστη απόσταση των 2,2 εκατομμυρίων χιλιομέτρων από τη Γη στις 0:27 ET — η πλησιέστερη προσέγγισή του στον πλανήτη μας, σύμφωνα με το Jet Propulsion Laboratory (JPL) της NASA.

00:00 Εισαγωγή
00:21 Κοντινότερη προσέγγιση
00:55 Near Earth Obgects
01:31 Μέγεθος
01:59 Επόμενη προσέγγιση

Μάθετε περισσότερα: https://www.secnews.gr/633112/terastios-dinitika-epikindinos-asteroeidis-plisiazei-gi/

Follow us:
Facebook:  https://www.facebook.com/SecNews 
Instagram:  https://www.instagram.com/secnews.gr/  
X (Twitter):   https://twitter.com/Secnews_GR
TikTok:    https://www.tiktok.com/@secnewsgr

#secnews #asteroid

Τεράστιος δυνητικά επικίνδυνος αστεροειδής πλησιάζει τη Γη. Ένας "δυνητικά επικίνδυνος" αστεροειδής στο μέγεθος ενός γηπέδου ποδοσφαίρου θα περάσει κοντά στον πλανήτη μας τις πρώτες πρωινές ώρες αύριο (4 Δεκεμβρίου) — και μπορείτε να τον παρακολουθήσετε ζωντανά. Ο γιγαντιαίος διαστημικός βράχος, γνωστός ως 2020 XR, ο οποίος ταξιδεύει με περίπου 44.300 χιλιόμετρα την ώρα, θα φτάσει στην ελάχιστη απόσταση των 2,2 εκατομμυρίων χιλιομέτρων από τη Γη στις 0:27 ET — η πλησιέστερη προσέγγισή του στον πλανήτη μας, σύμφωνα με το Jet Propulsion Laboratory (JPL) της NASA.

00:00 Εισαγωγή
00:21 Κοντινότερη προσέγγιση
00:55 Near Earth Obgects
01:31 Μέγεθος
01:59 Επόμενη προσέγγιση

Μάθετε περισσότερα: https://www.secnews.gr/633112/terastios-dinitika-epikindinos-asteroeidis-plisiazei-gi/

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3LlNBWmhrWDNKVF9N

Τεράστιος δυνητικά επικίνδυνος αστεροειδής πλησιάζει τη Γη

SecNewsTV 18 hours ago

Ο κώδικας αποδίδει την JavaScript μέσα από μια σειρά παραμέτρων που εν συνεχεία αποκρυπτογραφούνται μέσω του base64.

πρόσθετο KingComposer XSS WordPress

“Ως εκ τούτου, εάν ένας εισβολέας χρησιμοποίησε κωδικοποίηση base64 σε κακόβουλο payload και εξαπάτησε ένα θύμα για να στείλει ένα αίτημα που περιέχει αυτό το payload στην παράμετρο kc-online-preset-data, το κακόβουλο payload θα είχε αποκωδικοποιήθει και θα είχε εκτελεστεί στο πρόγραμμα περιήγησης του θύματος,” λένε οι ερευνητές.

Οι προβληματισμένες ευπάθειες XSS βασίζονται σε ένα θύμα για να εκτελέσει μια συγκεκριμένη ενέργεια για να προκαλέσει μια επίθεση. Αυτό μπορεί να επιτευχθεί με την εξυπηρέτηση κακόβουλων συνδέσμων στους οποίους πρέπει να κάνετε κλικ, για παράδειγμα, και εάν είναι επιτυχής, θα μπορούσε να οδηγήσει σε hijacking περιόδου σύνδεσης προγράμματος περιήγησης ή λήψη και εκτέλεση malware.

Η ομάδα του Wordfence Threat Intelligence προσπάθησε να επικοινωνήσει με τους προγραμματιστές του plugin μια ημέρα μετά την ανακάλυψή της. Ωστόσο, δεν υπήρχε απάντηση, με αποτέλεσμα η ομάδα να επικοινωνήσει απευθείας με την ομάδα WordPress Plugins στις 25 Ιουνίου. Έως τις 26 Ιουνίου, έγινε επικοινωνία με τους προγραμματιστές του KingComposer και μια ενημερωμένη έκδοση του plugin, έκδοση 2.9.5, κυκλοφόρησε στις 29 Ιουνίου.

Το πρόβλημα ασφαλείας επιλύθηκε με την κατάργηση της ευπαθούς και ξεπερασμένης, λειτουργίας Ajax.

Το 62,1% των χρηστών έχουν ενημερωθεί στην έκδοση 2.9.5 και έτσι το 37,9% των ιστότοπων με ενεργοποιημένο το KingComposer εξακολουθούν να κινδυνεύουν να πέσουν θύματα εκμετάλλευσης.

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS