Accelerated Mobile Pages WordPress 外掛程式安裝量超過 100,000 次,修復了一個中等嚴重程度的漏洞,該漏洞可能允許攻擊者註入惡意腳本來執行網站訪客。
使用簡碼進行跨站點腳本編寫
跨站點腳本攻擊 (XSS) 是最常見的漏洞類型之一。 在 WordPress 外掛的上下文中,當外掛程式輸入資料的方式無法透過驗證或清理使用者輸入的流程充分保護時,就會出現 XSS 漏洞。
清理是阻止不需要的輸入類型的一種方法。 例如,如果插件允許使用者透過輸入欄位來添加文本,那麼它還應該清理輸入到該表單中的任何其他不屬於該表單的內容,例如腳本或 zip 檔案。
短代碼是 WordPress 的一項功能,可讓使用者插入與此類似的標籤 [example] 在貼文和頁面內。 短代碼嵌入外掛提供的功能或內容。 這允許用戶透過管理面板來設定插件,然後將短代碼複製並貼上到他們希望顯示插件功能的貼文或頁面中。
「透過短代碼的跨站點腳本」漏洞是一個安全缺陷,允許攻擊者透過利用外掛程式的短代碼功能將惡意腳本注入網站。
根據 WordPress 安全公司 Patchstack 最近發布的報告:
「這可能允許惡意行為者將重新導向、廣告和其他 HTML 有效負載等惡意腳本注入您的網站,這些腳本將在訪客造訪您的網站時執行。
該漏洞已在1.0.89版本中修復。
Wordfence 描述了該漏洞:
「由於輸入和「將輸出轉義為用戶提供的屬性」的清理不足,WordPress 的 Accelerated Mobile Pages 外掛程式容易受到 1.0.88.1 及之前所有版本中使用外掛程式短代碼儲存的跨網站腳本的影響。
Wordfence 也澄清說,這是一個經過身份驗證的漏洞,對於此特定漏洞,駭客至少需要貢獻者權限等級才能利用該漏洞。
Patchstack 將此漏洞評為中等嚴重性漏洞,以 1 到 10 分(10 分最嚴重)評分為 6.5 分。
建議使用者檢查其安裝是否已修補至至少 1.0.89 版本。
請在此處閱讀 Patchstack 報告:
WordPress Accelerated Mobile Pages 外掛程式 <= 1.0.88.1 容易受到跨站腳本 (XSS) 攻擊
請在此閱讀 Wordfence 公告:
加速行動頁面 <= 1.0.88.1:透過簡碼驗證儲存的跨站點腳本 (Contributor+)
精選圖片由 Shutterstock/pedrorsfernandes 提供
