Le plugin WordPress de KingComposer a un bogue XSS réfléchi - FR


Le plugin WordComposer WordPress contient plusieurs vulnérabilités qui pourraient conduire à un contrôle d'accès sur les sites compromis. Le plugin a été installé sur plus de 100,000 des sites. Pendant leur enquête, Les chercheurs de Wordfence ont découvert un script intersite réfléchi non corrigé (XSS) faille dans le plugin KingComposer, identifié comme CVE-2020-15299.

Peu de temps après la découverte de la vulnérabilité, les chercheurs ont essayé de contacter les développeurs du plugin. toutefois, ils n'ont pas reçu de réponse dans les beaux jours qui ont suivi, alors ils ont contacté l'équipe des plugins WordPress. «L'équipe WordPress Plugins a répondu le lendemain et nous a fait savoir qu'elle était en contact avec les développeurs du plugin KingComposer, et un patch a été publié en juin 29, 2020,"Rapport de Wordfence dit.

Qu'est-ce qu'un script intersite réfléchi (XSS) vulnérabilité?

Des chercheurs de Wordfence ont récemment détecté une augmentation de 30 fois des attaques spécifiques, appelé script intersite. Les attaques XSS peuvent être décrites comme un type d'injection, dans lequel des scripts malveillants sont injectés dans des sites Web de confiance. Un autre type d'attaques populaires contre les sites WordPress est la contrefaçon de demande intersite. (CSRF) attaques, où un attaquant peut amener une victime à cliquer sur un lien spécialement conçu pour apporter des modifications à un site.

Donc, que serait une attaque XSS réfléchie?

Les vulnérabilités XSS reflétées ont les caractéristiques de ces deux vulnérabilités. Un peu comme une attaque CSRF, exploiter une vulnérabilité Reflected XSS repose généralement sur un attaquant qui incite sa victime à cliquer sur un lien malveillant qui envoie la victime vers le site vulnérable avec une charge utile malveillante. Cela peut se faire de plusieurs manières, mais il est courant de créer un premier lien vers un site intermédiaire contrôlé par l'attaquant, qui envoie ensuite une demande contenant une charge utile malveillante au site vulnérable au nom de la victime.

Plus de détails sur le plugin vulnérable KingComposer

Comme déjà mentionné, il a été constaté que le plugin contient un script intersite réfléchi (XSS) vulnérabilité – CVE-2020-15299. Plus précisement, vulnérable est le KingComposer - Constructeur de pages Drag and Drop gratuit par King-Theme. Les versions affectées par le problème incluent des versions antérieures à 2.9.5. En d'autres termes, les utilisateurs doivent mettre à jour leurs plugins vers la dernière version qui est 2.9.5.

KingComposer est un plugin WordPress qui a été créé pour Création d'une page par glisser-déposer. Le plugin enregistre un certain nombre d'actions AJAX pour atteindre cet objectif. «L'une de ces actions AJAX n'était plus utilisée activement par le plugin, mais pourrait toujours être utilisé en envoyant une demande POST à ​​wp-admin / admin-ajax.php avec le paramètre d'action défini sur kc_install_online_preset,"Wordfence a dit.

Recherché et créé par:
Kroum Popov
Entrepreneur passionné du Web, crée des projets Web depuis 2007. Dans 2020, il a fondé HTH.Guide — une plateforme visionnaire dédiée à rationaliser la recherche de la solution d'hébergement Web parfaite. En savoir plus...
Techniquement révisé par:
Métodi Ivanov
Expert chevronné en développement Web avec 8+ des années d'expérience, y compris des connaissances spécialisées dans les environnements d'hébergement. Son expertise garantit que le contenu répond aux normes d'exactitude les plus élevées et s'aligne parfaitement avec les technologies d'hébergement.. En savoir plus...

Laisser un commentaire

Votre adresse email ne sera pas publiée. les champs requis sont indiqués *

Ce site est protégé par reCAPTCHA et Google Politique de confidentialité et Conditions d'utilisation appliquer.

Ce site utilise des cookies pour améliorer l'expérience utilisateur. En utilisant notre site Web, vous consentez à tous les cookies conformément à notre Politique de confidentialité.
Je suis d'accord
Chez HTH.Guide, nous proposons des avis transparents sur l'hébergement Web, garantir l’indépendance vis-à-vis des influences extérieures. Nos évaluations sont impartiales car nous appliquons des normes strictes et cohérentes à tous les avis..
Bien que nous puissions gagner des commissions d'affiliation de certaines des sociétés présentées, ces commissions ne compromettent pas l'intégrité de nos avis et n'influencent pas notre classement.
Les revenus de l'affilié contribuent à couvrir l'acquisition du compte, frais de tests, entretien, et développement de notre site Web et de nos systèmes internes.
Faites confiance à HTH.Guide pour des informations fiables et de la sincérité en matière d'hébergement.