拥有超过100,000次安装的加速移动页面(AMP)WordPress插件修复了一个中度严重的漏洞,该漏洞可能允许攻击者注入恶意脚本,从而使网站访问者执行这些脚本。 ...
|
拥有超过100,000次安装的加速移动页面(AMP)WordPress插件修复了一个中度严重的漏洞,该漏洞可能允许攻击者注入恶意脚本,从而使网站访问者执行这些脚本。 通过 Shortcode 的跨站脚本攻击 跨站脚本(XSS)是最常见的漏洞之一。在 WordPress 插件的背景下,XSS 漏洞通常发生在插件通过某种方式输入数据,而这种输入未经过充分验证或未被用户输入进行消毒的情况下。 消毒是一种阻止不需要的输入类型的方式。例如,如果插件允许用户通过输入字段添加文本,那么它还应对在该表单中输入的任何其他不相关内容(如脚本或zip文件)进行消毒。 Shortcode 是 WordPress 的一项功能,允许用户在文章和页面中插入类似于[示例]的标签。Shortcode 嵌入由插件提供的功能或内容,使用户可以通过管理面板配置插件,然后将 Shortcode 复制粘贴到希望插件功能出现的文章或页面中。 “通过 Shortcode 的跨站脚本攻击”漏洞是一种安全漏洞,允许攻击者通过利用插件的 Shortcode 功能将恶意脚本注入到网站中。 根据 Patchstack WordPress 安全公司最近发布的报告: “这可能使恶意行为者能够注入恶意脚本,例如重定向、广告和其他 HTML 添加到您的网站中,当访客访问您的站点时将被执行。” 这个漏洞已在版本1.0.89中修复。 Wordfence描述了这个漏洞: “WordPress 的加速移动页面插件在所有版本中(包括1.0.88.1版)都对插件的Shortcode 进行了存储的跨站脚本攻击,原因是用户提供的属性上输入验证和输出转义不足。” Wordfence 还澄清了这是一个需经过身份验证才可被利用的漏洞,这意味着黑客至少需要贡献者权限级别才能利用这个漏洞。 Patchstack 将这个漏洞评定为中度严重的漏洞,评分为6.5(十分为最严重)。 建议用户立即检查所安装的 WordPress AMP 插件版本,确保至少已经更新到1.0.89版。 |
注册
运营推广
2023-12-1 10:51
213浏览
微信公众号
原作者:站长帮服务
皖ICP备2021010202号
赣公网安备36112102000145号