Помилка міжсайтових сценаріїв (XSS), виявлена у плагіні SEOPress для сайтів на WordPress, могла би дозволити зловмисникам вводити довільні веб-сценарії у вразливі елементи та захоплювати веб-сайти.

SEOPress – популярний плагін SEO (оптимізації сайту для пошукових систем), розроблений спеціально для веб -сайтів, на яких запущено WordPress, і використовується приблизно на 100 тисяч сайтів, повідомляє Techradar.

Помилку виявили експерти з безпеки WordPress у компанії Wordfence, які минулого місяця повідомили про неї розробника плагінів.

“Однією з особливостей, яку реалізує плагін, є можливість додавати до повідомлень назву та опис для алгоритмів SEO, і це можна зробити, зберігаючи зміни до публікації або за допомогою нещодавно представленої кінцевої точки REST-API. На жаль, ця кінцева точка REST-API була ненадійно реалізована”,-написала Хлоя Чемберленд, аналітик загроз у Wordfence.

Чемберленд вважає, що вразливості міжсайтового сценарію, такі як виявлена ​​в SEOPress, можна використовувати для виконання різних шкідливих дій – таких як створення нових облікових записів адміністратора, ін’єкція веб-оболонки, довільні переспрямування і аж до повного перехоплення контролю над сайтом на WordPress.

Поділяючись технічними подробицями про уразливість, Чемберленд пише, що вона може бути використана будь-яким автентифікованим користувачем, наприклад, звичайним підписником, для оновлення заголовка та опису SEO для будь -якої публікації.

“Корисне навантаження може включати шкідливі веб -сценарії, такі як JavaScript, через відсутність дезінфекції або перехід за збереженими параметрами сторінки”, – говорить Чемберленд, додаючи, що ці сценарії виконуватимуться кожного разу, коли користувач звернеться до сторінки “Усі публікації”.

Ця помилка була повністю виправлена ​​у версії SEOPress v5.0.4, і Wordfence закликає всіх користувачів плагіна оновити свої інсталяції.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Телефонне шахрайство: як розпізнати обман та викрити зловмисника?

Платіжна безпека: як вберегтися від шахраїв під час користування онлайн-банкінгом?

Як автоматично пересилати певні електронні листи в Gmail? – ІНСТРУКЦІЯ

Що таке Google Tensor і як він покращить майбутні смартфони? ОГЛЯД

Як заблокувати спам на Google Диску? ІНСТРУКЦІЯ

До речі, Apple скануватиме фото в iPhone користувачів, щоб захистити дітей від насильства. Про це заявив сам американський технологічний гігант.

Виявлено спосіб, що дозволяє користувачам Telegram для Mac назавжди зберігати повідомлення, які повинні самі знищуватися і переглядати їх без відома відправника. Уразливість виправити неможливо.

Зверніть увагу, шахрайську схему з виманювання даних платіжних карт українців вигадали зловмисники, створивши фейкову сторінку у Facebook та фейковий сайт ТСН. Довірливих користувачів змушували вказувати дані своїх платіжних карток.

Окрім цього, Windows 11 може вийти раніше, ніж Ви думали. Майкрософт була щедрою з інформацією про Windows 11, за значним винятком є ​​дата виходу. Однак компанія могла ненароком відкрити вікно випуску за жовтень, завдяки деяким документам підтримки Intel та Microsoft, виявленим BleepingComputer.

Також якщо Ви регулярно пересилаєте повідомлення на інший обліковий запис електронної пошти, чому б не автоматизувати це завдання? Використовуючи зручну функцію фільтрування в Gmail, Ви можете автоматично пересилати певні електронні листи, коли вони потраплять у Вашу поштову скриньку.

Ця стаття Понад 100 тисяч сайтів залишаються уразливими через баг у плагіні для WordPress раніше була опублікована на сайті CyberCalm, її автор — Побокін Максим