تعرض الثغرة الأمنية في مكون WordPress الشهير أكثر من 2 مليون موقع للهجمات الإلكترونية

 يسمح الخطأ للمهاجمين بالسيطرة الكاملة على الموقع بنقرة واحدة.


اكتشف باحثو الأمن في شركة أمان WordPress Patchstack ثغرة أمنية في المكون الإضافي Advanced Custom Fields ( ACF) لـ WordPress والذي يسمح لهجوم XSS .

ترتبط ثغرة XSS الأمنية CVE-2023-30777 بـ Reflected XSS ، والتي تسمح بإدخال البرامج النصية التعسفية القابلة للتنفيذ في المواقع المستهدفة.

وفقًا لـ Patchstack ، تسمح المشكلة لمهاجم غير مصدق بسرقة المعلومات الحساسة وتصعيد الامتيازات على موقع WordPress عن طريق خداع مستخدم ذي امتياز لزيارة عنوان URL تم إنشاؤه.

تجدر الإشارة إلى أنه يمكن تنشيط CVE-2023-30777 من خلال التثبيت القياسي أو إعداد الحقول المخصصة المتقدمة ، على الرغم من أن هذا ممكن فقط للمستخدمين الذين قاموا بتسجيل الدخول والذين لديهم حق الوصول إلى المكون الإضافي.

تم تثبيت المكون الإضافي Advanced Custom Fields أكثر من 2 مليون مرة . تم اكتشاف المشكلة ولفت انتباه المشرفين إليها في 2 مايو 2023. ينصح مستخدمو البرنامج المساعد بشدة بالترقية إلى الإصدار 6.1.6.

تحدث هجمات XSS المنعكسة عادةً عندما يتم خداع الضحايا للنقر على رابط مزيف تم إرساله عبر البريد الإلكتروني أو غير ذلك ، مما يؤدي إلى إرسال رمز ضار إلى موقع ويب ضعيف ، مما يعكس الهجوم مرة أخرى على متصفح المستخدم.


0 تعليقات