hack-haber

xss den etkilenen 100.000 WordPress Sitesi

KingComposer, Yansıtılan Siteler Arası Komut Dizileri'ne karşı savunmasız bulunan 100.000'den fazla WordPress sitesi yüklü bir WordPress eklentisi .

Güvenlik açığı, KingComposer Sürükle ve Bırak sayfa oluşturma eklentisine sahip Wordfence güvenlik ekibi tarafından bulundu .

Güvenlik açığından, saldırganın mağduru yararlı yükü ile birlikte savunmasız web sitesine gönderen kötü niyetli bir bağlantıyı tıklatması için kandırdığı saldırgandan yararlanılabilir.

CVE-2020-15299 olarak takip edilebilir ve CVSS puanı: 6.1. 2.9.5'ten önceki sürüm bu güvenlik açığından etkilenir.

Güvenlik açığı, eklenti tarafından artık etkin olarak kullanılmayan AJAX eylemiyle ortaya çıkıyor, ancak yine de wc -admin / admin-ajax.php dosyasına kc_install_online_preset olarak ayarlanmış eylem parametresi ile bir POST isteği gönderilerek kullanılabilir

Güvenlik açığından, kötü amaçlı bir yük üzerinde base64 kodlaması kullanılarak yararlanılabilir ve mağdurun , kötü niyetli yükün kurban tarayıcısında yürütülmesine izin verecek bir kc-online-önceden ayarlanmış veri parametresi yoluyla istek göndermesi için kandırılabilir .

Wordfence Tehdit İstihbaratı, 15 Haziran 2020'de güvenlik açığını tespit etti ve 29 Haziran 2020'de eklenti geliştiricileri tarafından yamalandı.

Güvenlik açığını azaltmak için kullanıcıların eklentinin en son sürümüyle güncellemeleri önerilir.

  • Siteler Arası Komut Dosyalarına Karşı Savunmalar
  • Hangi girdiye güveniyoruz?
  • Beklenen kalıplara uyuyor mu?
  • Güvenilmeyen verileri asla yansıtmayın.
  • Veritabanımızdaki veriler için de geçerlidir.
  • Bağlamın kodlanması (Java / özellik / HTML / CSS).



Yorumlar Toplam Yorum Henüz yorum Yapan Yok


Yorum Yap


Scroll to Top