La vulnerabilitat del connector de plantilla de WordPress arriba a +1 milió de llocs


Plantilles d’inici: el connector de Plantilles d’Elementor, Gutenberg i Beaver Builder dels editors del tema Astra WordPress conté una vulnerabilitat que afecta més d’un milió de llocs web. L’explotació permet a un atacant carregar scripts maliciosos, organitzar una presa total del lloc i atacar els visitants del lloc web vulnerable.

Plantilles d’inici: Plantilles de constructor Elementor, Gutenberg i Beaver

El complement Starter Templates el publica Brainstorm Force, els creadors del popular tema de WordPress Astra. El connector permet als usuaris utilitzar més de 280 plantilles de WordPress que ajuden a accelerar el desenvolupament del lloc web.

Les plantilles estan fetes per ser compatibles amb Elementor, Gutenberg, Brizy i Beaver Builder, així com amb el tema Astra.

Anunci

Continueu llegint a continuació

El connector està instal·lat en més d’un milió de llocs web.

Vulnerabilitat de scripting de llocs creuats emmagatzemats (XSS).

Els investigadors de seguretat de Wordfence van descobrir que el connector Starter Templates de Brainstorm Force conté un tipus de vulnerabilitat que permet a un atacant carregar un script maliciós que al seu torn s’emmagatzema al mateix lloc web.

Una vulnerabilitat XSS emmagatzemada és especialment problemàtica perquè l’script carregat s’emmagatzema al servidor del lloc atacat.

El projecte de seguretat d’aplicacions web obertes (OWASP) sense ànim de lucre descriu la gravetat de aquest tipus de vulnerabilitat XSS al seu lloc web:

“Els atacs emmagatzemats són aquells en què l’script injectat s’emmagatzema permanentment als servidors de destinació, com ara una base de dades, un fòrum de missatges, un registre de visitants, un camp de comentaris, etc.

Aleshores, la víctima recupera l’script maliciós del servidor quan sol·licita la informació emmagatzemada”.

Anunci

Continueu llegint a continuació

Adquisició del lloc web i atacs als visitants del lloc

La vulnerabilitat podria provocar una presa total del lloc, així com utilitzar el lloc web vulnerable per llançar atacs a tots els visitants del lloc.

Segons l’informe de Wordfence:

“Un atacant podria crear i allotjar un bloc que conté JavaScript maliciós en un servidor que controla, i després utilitzar-lo per sobreescriure qualsevol publicació o pàgina…

Qualsevol publicació o pàgina que s’hagués creat amb Elementor, incloses les pàgines publicades, es podria sobreescriure pel bloc importat i el JavaScript maliciós del bloc importat s’executaria al navegador de qualsevol visitant d’aquesta pàgina.

Això es podria utilitzar per redirigir els visitants del lloc a llocs web maliciosos o segrestar la sessió d’un administrador per crear un nou administrador maliciós o afegir una porta posterior al lloc, que condueixi a la presa de possessió del lloc”.

S’ha solucionat el connector de plantilles d’inici

Wordfence va notificar la vulnerabilitat als editors del connector Starter Templates i immediatament van pegar el connector a la versió 2.7.1.

El públic registre de canvis per al connector de Plantilles d’inici registra amb precisió el pedaç:

v2.7.1 – 7-octubre-2021
– Millora de la seguretat: valideu l’URL del lloc abans de processar la sol·licitud d’importació.
– Millora de la seguretat: s’ha actualitzat el permís de càrrega de fitxers dret abans d’importar imatges.

Un registre de canvis honest com el publicat per Brainstorm Force és un signe d’un editor de qualitat i és fantàstic veure’ls oberts per tancar els problemes de seguretat.

Wordfence aconsella que els editors actualitzin el seu connector

Wordfence recomana que tots els editors que utilitzen aquest connector actualitzin a la versió més recent del connector 2.7.5 perquè aquesta versió més recent també conté correccions d’errors importants.

Anunci

Continueu llegint a continuació

Citació

Llegiu l’informe de Wordfence sobre la vulnerabilitat de la plantilla inicial

Més d’1 milió de llocs afectats per la vulnerabilitat al connector de plantilles d’inici





Source link

La vulnerabilitat del connector de plantilla de WordPress arriba a +1 milió de llocs
A %d bloguers els agrada això: