פגיעות בתוסף וורדפרס המשפיעה על כ 600,000 אתרים, מאפשרת ניצול XSS
אם אתם מחזיקים באתר וורדפרס המשתמש בתוסף Ocean Extra כדאי לעדכן לגרסה אחרונה,
פורסמה התראה לגבי תוסף Ocean Extra של וורדפרס, אשר חשוף ל-cross-site scripting, המאפשר לתוקפים להעלות סקריפטים זדוניים המבוצעים באתר כאשר משתמש מבקר באתר המושפע.
Ocean Extra WordPress Plugin
הפגיעות משפיעה רק על התוסף Ocean Extra של oceanwp, תוסף שמרחיב את ערכת הנושא הפופולרית OceanWP של וורדפרס. התוסף מוסיף תכונות נוספות לערכת הנושא OceanWP, כגון היכולת לארח בקלות גופנים באופן מקומי, ווידג'טים נוספים ואפשרויות תפריט ניווט מורחבות.
חיטוי קלט
חיטוי קלט הוא מונח המשמש לתיאור תהליך סינון הקלט בוורדפרס, כמו בטופס או בכל שדה שבו משתמש יכול להזין משהו. המטרה היא לסנן סוגים בלתי צפויים של קלט, כמו סקריפטים זדוניים, לדוגמה. זהו משהו שחסר לתוסף, על פי הדיווחים, (לא מספיק).
פלט בריחה
יציאת פלט (output escape) דומה במידה מסוימת לחיטוי קלט, אך בכיוון השני, תהליך אבטחה המוודא שכל מה שמופלט מוורדפרס בטוח. הוא בודק שהפלט אינו מכיל תווים שניתן לפרש על ידי דפדפן כקוד ולבצע לאחר מכן, כמו מה שנמצא בניצול cross-site scripting (XSS). זהו הדבר הנוסף שחסר בתוסף Ocean Extra.
יחד, ניקוי הקלט הלא מספק ויציאת הפלט הלא מספקת מאפשרים לתוקפים להעלות סקריפט זדוני ולגרום לו להיות מופק באתר וורדפרס.
משתמשים מתבקשים לעדכן את התוסף
הפגיעות משפיעה רק על משתמשים מאומתים בעלי הרשאות תורם ומעלה, ובמידה מסוימת מפחיתה את רמת האיום של פרצה ספציפית זו. פגיעות זו משפיעה על גרסאות עד גרסה 2.4.9. מומלץ למשתמשים לעדכן את התוסף שלהם לגרסה העדכנית ביותר, נכון לעכשיו 2.5.0.
Leave a Reply