Os plug-ins Post Grid e Team Showcase contêm vulnerabilidades - PT

de   |  Última atualização:  |  0 Comentários  

Nesta página: [ocultar]

  1. Vulnerabilidades de plug-in pós-grade e demonstração de equipe

vulnerabilidades em plug-ins de wordpress de pós-grade e demonstração de equipeEm meados de setembro, pesquisadores de segurança no Wordfence (Desafiador) descobriu duas vulnerabilidades graves no Post Grid. Post Grid é um plugin WordPress com mais de 60,000 instalações, desenvolvido por PickPlugins.

Durante a análise, a equipe descobriu vulnerabilidades quase idênticas no Team Showcase, outro plugin desenvolvido pelo mesmo autor. Team Showcase acabou 6,000 instalações.
A boa notícia é que os desenvolvedores de plugins lançaram patches apenas algumas horas depois de divulgar as falhas.

Vulnerabilidades de plug-in pós-grade e demonstração de equipe

O primeiro plugin permite que os usuários exibam suas postagens em um layout de grade, enquanto o Team Showcase exibe os membros da equipe de uma organização. Ambos os plug-ins permitiam a importação de layouts personalizados, com funcionalidades quase idênticas. Mesmo que o Post Grid não use a função de importação vulnerável, ainda continha o código defeituoso, tornando-o vulnerável.

Um invasor conectado pode explorar ambos os plug-ins com permissões mínimas em Stored Cross-Site Scripting (XSS) ataques. A exploração pode ser feita enviando uma solicitação AJAX específica.
As versões afetadas são Post Grid < 2.0.73 and Team Showcase < 1.22.16. The other vulnerabilities affecting both plugins could trigger PHP Object injection. The same layout functions posed the risk of PHP Object injection via the same method used in the cross-site scripting attack. This was possible thanks to the vulnerable functions, which unserialized the payload supplied in the source parameter. This flaw also required an attacker to have minimal privileges, such as a subscriber lever. “Contudo, sites que usam um plugin ou tema que permitia que visitantes não autenticados executassem códigos de acesso arbitrários seriam vulneráveis ​​a invasores não autenticados,”Wordfence diz.

Como se manter protegido?
Se o seu site WordPress usa um desses plug-ins, você deve atualizar para as versões mais recentes imediatamente. Atualmente, a última versão do Post Grid é 2.0.73, enquanto a versão mais recente do Team Showcase é 1.22.16.

Se você precisar de mais detalhes técnicos sobre as falhas, você pode se referir a as descobertas originais.

Pesquisado e criado por:
Krum Popov
Empreendedor web apaixonado, vem elaborando projetos web desde 2007. No 2020, ele fundou o HTH.Guide — uma plataforma visionária dedicada a agilizar a busca pela solução de hospedagem web perfeita. Consulte Mais informação...
Revisado tecnicamente por:
Metódi Ivanov
Especialista experiente em desenvolvimento web com 8+ anos de experiência, incluindo conhecimento especializado em ambientes de hospedagem. Sua experiência garante que o conteúdo atenda aos mais altos padrões de precisão e se alinhe perfeitamente com as tecnologias de hospedagem. Consulte Mais informação...

Sem postagens relacionadas.

Deixe um comentário

seu endereço de e-mail não será publicado. Os campos obrigatórios estão marcados *

Este site é protegido pelo reCAPTCHA e pelo Google Política de Privacidade e Termos de serviço Aplique.

Este site usa cookies para melhorar a experiência do usuário. Ao usar nosso site, você concorda com todos os cookies de acordo com nosso Política de Privacidade.
Eu concordo
Em HTH.Guide, oferecemos análises transparentes de hospedagem na web, garantindo a independência de influências externas. Nossas avaliações são imparciais, pois aplicamos padrões rigorosos e consistentes a todas as avaliações.
Embora possamos ganhar comissões de afiliados de algumas das empresas apresentadas, essas comissões não comprometem a integridade de nossas avaliações nem influenciam nossas classificações.
Os ganhos do afiliado contribuem para cobrir a aquisição de contas, despesas de teste, manutenção, e desenvolvimento do nosso site e sistemas internos.
Confie no HTH.Guide para obter insights de hospedagem confiáveis e sinceridade.