Μια ευπάθεια που αποκαλύφθηκε πρόσφατα στην προσθήκη Page Builder for Gutenberg Editor του WordPress, έχει προκαλέσει ανησυχίες μεταξύ των διαχειριστών και των προγραμματιστών ιστοτόπων.
Δείτε επίσης: WordPress: Κρίσιμες ευπάθειες στο Spam protection, Anti-Spam, FireWall plugin
Η ευπάθεια του WordPress Gutenberg Editor, που προσδιορίζεται ως CVE-2024-10178, επιτρέπει στους εισβολείς με πρόσβαση σε επίπεδο συντελεστή ή υψηλότερη, να εισάγουν κακόβουλα σενάρια σε ιστοσελίδες μέσω του γραφικού στοιχείου Countdown της προσθήκης. Αυτή η ευπάθεια επηρεάζει όλες τις εκδόσεις της προσθήκης έως και την 3.3.9.
Το πρόβλημα οφείλεται σε ανεπαρκές sanitization εισόδου και διαφυγή εξόδου σε χαρακτηριστικά που παρέχονται από το χρήστη στο γραφικό στοιχείο Countdown.
CES 2025: Τα πιο συναρπαστικά ρομπότ!
Η Samsung διορθώνει πολλαπλά ελαττώματα ασφαλείας
Most Innovative Robots of CES 2025
Δείτε ακόμα: Ευπάθεια στο WordPress Plugin εκθέτει websites στους hackers
Αυτός ο ακατάλληλος χειρισμός δίνει τη δυνατότητα στους εισβολείς να εκτελούν επιθέσεις Cross-Site Scripting (XSS). Μόλις εγχυθεί ένα κακόβουλο σενάριο, εκτελείται κάθε φορά που ένας χρήστης αποκτά πρόσβαση στη σελίδα που έχει παραβιαστεί, οδηγώντας ενδεχομένως σε κλοπή δεδομένων, παραβίαση συνεδρίας ή άλλες επιβλαβείς ενέργειες.
Οι ερευνητές στο Wordfence εντόπισαν ότι η ευπάθεια ταξινομείται ως μέτριας σοβαρότητας με βαθμολογία CVSS 6,4, που αντικατοπτρίζει τον πιθανό αντίκτυπό της και την ευκολία εκμετάλλευσής της.
Συγκεκριμένα, η επίθεση δεν απαιτεί αλληλεπίδραση με τον χρήστη πέρα από την πρόσβαση σε μια επηρεαζόμενη σελίδα, γεγονός που την καθιστά ιδιαίτερα ανησυχητική για τους διαχειριστές ιστότοπων WordPress πολλών χρηστών.
Τα ελαττώματα XSS όπως αυτό υπογραμμίζουν τη σημασία των ασφαλών πρακτικών κωδικοποίησης, ιδιαίτερα σχετικά με την επικύρωση εισόδου και τη διαφυγή εξόδου.
Δείτε επίσης: WordPress: Νέα σοβαρή ευπάθεια στο LiteSpeed Cache plugin
Το Cross-Site Scripting (XSS) αποτελεί μια από τις πιο διαδεδομένες απειλές ασφαλείας στον κόσμο του διαδικτύου. Οι επιτιθέμενοι εκμεταλλεύονται τα ελαττώματα XSS για να ενθαρρύνουν τον ιστότοπο να εκτελέσει κακόβουλο κώδικα JavaScript στον φυλλομετρητή των χρηστών. Αυτό μπορεί να οδηγήσει σε κλοπή προσωπικών πληροφοριών, όπως κωδικοί πρόσβασης ή πιστωτικές κάρτες, και σε ανεπιθύμητη εκτέλεση ενεργειών εκ μέρους του χρήστη.
Πηγή: cybersecuritynews