Il plug-in WordPress di KingComposer ha un bug XSS riflesso - IT


È stato riscontrato che il plug-in WordPress KingComposer contiene diverse vulnerabilità che potrebbero portare al controllo dell'accesso su siti compromessi. Il plugin è stato installato su più di 100,000 siti. Durante la loro indagine, I ricercatori di Wordfence hanno scoperto uno scripting cross-site riflesso senza patch (XSS) difetto nel plugin KingComposer, identificato come CVE-2020-15299.

Poco dopo la scoperta della vulnerabilità, i ricercatori hanno provato a contattare gli sviluppatori del plugin. però, non hanno ricevuto risposta nei bei giorni successivi, così hanno contattato il team dei plugin di WordPress. "Il team dei plugin di WordPress ha risposto il giorno successivo e facci sapere che erano in contatto con gli sviluppatori del plugin KingComposer, e una patch è stata rilasciata a giugno 29, 2020,"Rapporto di Wordfence dice.

Che cos'è uno scripting cross-site riflesso (XSS) vulnerabilità?

Ricercatori di Wordfence recentemente rilevati un aumento di 30 volte in attacchi specifici, chiamato cross-site scripting. Gli attacchi XSS possono essere descritti come un tipo di iniezione, in cui gli script dannosi vengono iniettati in siti Web attendibili. Un altro tipo di attacchi popolari contro i siti WordPress sono i falsi di richieste cross-site (CSRF) attacchi, dove un utente malintenzionato può indurre una vittima a fare clic su un collegamento appositamente predisposto per apportare modifiche a un sito.

Così, quale sarebbe un attacco XSS riflesso?

Le vulnerabilità XSS riflesse presentano le caratteristiche di entrambe queste vulnerabilità. Proprio come un attacco CSRF, lo sfruttamento di una vulnerabilità di Reflected XSS di solito si basa su un utente malintenzionato che induce la vittima a fare clic su un collegamento dannoso che invia la vittima al sito vulnerabile insieme a un payload dannoso. Questo può essere fatto in diversi modi, ma è comune prima collegare a un sito intermedio controllato dall'aggressore, che quindi invia una richiesta contenente un payload dannoso al sito vulnerabile per conto della vittima.

Maggiori dettagli sul plug-in KingComposer vulnerabile

Come già detto, è stato trovato che il plug-in contiene uno script riflesso tra siti (XSS) vulnerabilità – CVE-2.020-15.299. Più specificamente, vulnerabile è KingComposer - Generatore di pagine con trascinamento della selezione gratuito di King-Theme. Le versioni interessate dal problema includono versioni precedenti alla 2.9.5. In altre parole, gli utenti dovrebbero aggiornare i loro plugin all'ultima versione che è 2.9.5.

KingComposer è un plugin per WordPress che è stato creato per Trascina e rilascia la costruzione della pagina. Il plugin registra una serie di azioni AJAX per raggiungere questo scopo. "Una di queste azioni AJAX non è stata più utilizzata attivamente dal plugin, ma potrebbe ancora essere utilizzato inviando una richiesta POST a wp-admin / admin-ajax.php con il parametro action impostato su kc_install_online_preset,"Ha detto Wordfence.

Ricercato e creato da:
Krum Popov
Imprenditore appassionato del web, da allora realizza progetti web 2007. In 2020, ha fondato HTH.Guide, una piattaforma visionaria dedicata a semplificare la ricerca della soluzione di web hosting perfetta. Per saperne di più...
Revisionato tecnicamente da:
Metodi Ivanov
Esperto esperto di sviluppo web con 8+ Anni di esperienza, comprese conoscenze specialistiche negli ambienti di hosting. La sua esperienza garantisce che il contenuto soddisfi i più elevati standard di accuratezza e si allinei perfettamente con le tecnologie di hosting. Per saperne di più...

Lascio un commento

L'indirizzo email non verrà pubblicato. i campi richiesti sono contrassegnati *

Questo sito è protetto da reCAPTCHA e Google politica sulla riservatezza e Termini di servizio applicare.

Questo sito web utilizza i cookie per migliorare l'esperienza dell'utente. Utilizzando il nostro sito acconsenti a tutti i cookie in conformità con la ns politica sulla riservatezza.
Sono d'accordo
Su HTH.Guide, offriamo recensioni trasparenti di web hosting, garantire l’indipendenza dalle influenze esterne. Le nostre valutazioni sono imparziali poiché applichiamo standard rigorosi e coerenti a tutte le recensioni.
Mentre potremmo guadagnare commissioni di affiliazione da alcune delle società presenti, queste commissioni non compromettono l'integrità delle nostre recensioni né influenzano le nostre classifiche.
I guadagni dell'affiliato contribuiscono a coprire l'acquisizione dell'account, spese di prova, Manutenzione, e lo sviluppo del nostro sito web e dei sistemi interni.
Affidati a HTH.Guide per informazioni affidabili e sincerità sull'hosting.