นักวิชาการด้านความปลอดภัยทางไซเบอร์ช่วยแก้ไขข้อบกพร่องด้านความปลอดภัยในปลั๊กอิน Wordpress ยอดนิยม ซึ่งทำให้ผู้โจมตีสามารถแทรกสคริปต์ JavaScript ที่เป็นอันตรายเข้าไปในการตั้งค่าของปลั๊กอินได้
ค้นพบโดยผู้เชี่ยวชาญด้านความปลอดภัย WP ที่ Wordfence ช่องโหว่นี้มีอยู่ในปลั๊กอิน Variation Swatches สำหรับ WooCommerce ซึ่งเป็นส่วนขยายของปลั๊กอิน WooCommerce ยอดนิยมที่ช่วยให้ไซต์การค้าออนไลน์สามารถแสดงและขายการดัดแปลงหลายรายการของผลิตภัณฑ์เดียว
ปลั๊กอินมีฐานผู้ใช้ XNUMX การติดตั้งที่ได้รับผลกระทบจากช่องโหว่ Stored Cross-Site Scripting (XSS)
"ข้อบกพร่องนี้ทำให้ผู้โจมตีที่มีสิทธิ์ระดับต่ำ เช่น สมาชิกหรือไคลเอ็นต์ของบริการ สามารถแทรกโค้ด JavaScript ที่เป็นอันตรายซึ่งจะถูกดำเนินการเมื่อผู้ดูแลไซต์เข้าถึงพื้นที่การตั้งค่าของปลั๊กอิน" Chloe อธิบาย Chamberland นักวิชาการ Wordfence
เข้าครอบครองสถานที่
Chamberland อ้างว่ามีช่องโหว่อยู่เนื่องจากปลั๊กอินอาศัยการดำเนินการ AJAX หลายรายการในการกำหนดค่าไดรฟ์ซึ่งยังไม่ได้รวมไว้อย่างปลอดภัย สิ่งนี้อนุญาตแม้กระทั่งผู้ใช้ที่ได้รับการพิสูจน์ตัวตนน้อยที่สุดโดยมีสิทธิ์น้อยที่สุดในการดำเนินการ AJAX ที่เกี่ยวข้องกับฟังก์ชันที่เปราะบาง
เช่นเคย สคริปต์เว็บที่เป็นอันตรายสามารถออกแบบให้ใส่บัญชีผู้ใช้ที่เป็นผู้ดูแลระบบใหม่หรือแม้แต่แก้ไขปลั๊กอินหรือไฟล์ธีมเพื่อรวมประตูหลังซึ่งจะทำให้ผู้โจมตีสามารถควบคุมได้ทั้งหมด ตรวจสอบสถานที่” Chamberland อ้างโดยแสดงความคิดเห็นเกี่ยวกับความหมายของการพิจารณาคดี
นักพัฒนาปลั๊กอินแก้ไขข้อบกพร่องและเปิดตัวปลั๊กอินเวอร์ชันแพตช์ กระตุ้นให้ผู้ใช้ตรวจสอบให้แน่ใจว่าการติดตั้งของพวกเขาเป็นเวอร์ชันล่าสุด