O vulnerabilitate critică în popularul fancybox pentru wordpress plugin - revista wp

Ieri dimineață am fost alarmați de proprietar, al cărui site Google a decis să blocheze distribuirea codului rău intenționat.

Site-ul conține cod rău intenționat

Domeniul a fost considerat 203kok în zona euro, dar pot exista și altele. Codul rău intenționat nu a putut fi găsit imediat, site-ul în sine nu a arătat nimic, ca și când nu s-ar fi întâmplat nimic. "Săpând" timp de câteva ore încercând să declanșeze afișarea de insecte, a fost văzută o nouă publicație pe forumurile WordPress.org. După ce a învățat prețul "203koko", tot mai mulți oameni adunați într-o situație similară au început să se adune.

FancyBox pentru pluginul WordPress

După o oră de discuție, a devenit clar că suntem uniți de un plugin comun numit FancyBox pentru WordPress. Pluginul afișează galerii foto și alte tipuri de conținut în ferestre modale. Plug-in foarte popular, mai mult de 500.000 de descărcări (+ 1000 descărcări pe săptămână), dar foarte vechi.

Privind la fișierele jurnal de pagini în cursul ultimei zile stocate în memoria cache, piesa dreapta de cod în producția FancyBox pentru script plugin WordPress a fost găsit și a devenit clar că, într-adevăr FancyBox pentru WordPress implicate în toate acestea.

Funcția de ieșire are opțiunea de extragere de date suplimentare din baza de date fără filtrare, dar nu a existat niciun cod rău intenționat în baza de date.

Sa decis apoi să ne dăm seama cum putea ajunge acolo și, în curând, am găsit o vulnerabilitate în ceea ce privește salvarea setărilor. Oricine ar putea salva doar opțiunile pentru pluginul FancyBox pentru WordPress, inclusiv opțiunea de ieșire și conținut suplimentar. Așa a ajuns codul rău intenționat și, după un timp, a dispărut. Probabil că atacatorii au încercat lent apă din această vulnerabilitate înainte de exploatarea în masă.

Acest tip de atac este numit scripting persistent între site-uri (Persistent XSS). Vulnerabilitatea este una dintre cele mai frecvente.

Pentru a vă proteja, nu uitați să descărcați carte electronică gratuită despre securitate în WordPress.

Fiți vigilenți și norocoși pentru voi!

Articole similare

• Fancybox pentru wordpress configurație plugin, instrucțiuni detaliate

• Instalarea unui fancybox pe un site (blog) wordpress fără un plugin, doar un blog de tip simplu

• Fancybox pentru pluginuri wordpress pentru lucrul cu biblioteca

Trimiteți-le prietenilor: