WordPress рекомендует обновить до версии безопасности и обслуживания версии 6.5.2, которая исправляет уязвимость XSS
WordPress анонсировал обновление 6.5.2 Maintenance and Security Release, которое исправляет уязвимость межсайтового сценария в магазине и исправляет более десятка ошибок в ядре и редакторе блоков.
Та же уязвимость влияет как на ядро WordPress, так и на плагин Gutenberg.
Межсайтовый сценарий (XSS)
В WordPress обнаружена уязвимость XSS, которая может позволить злоумышленнику вставить сценарии на веб-сайт, который затем атакует посетителей сайта на этих страницах.
Существует три типа уязвимостей XSS, но чаще всего обнаруживаются в плагинах WordPress, темах и самом WordPress – это отображенные XSS и сохранены XSS.
Отраженный XSS требует, чтобы жертва щелкнула ссылку, дополнительный шаг, который затрудняет запуск такого рода атаки.
Сохраненный XSS является более тревожным вариантом, поскольку он использует недостаток, позволяющий злоумышленнику загрузить сценарий на уязвимый сайт, который затем может запускать атаки на посетителей сайта. Уязвимость, обнаруженная в WordPress, является сохраненным XSS.
Самая угроза смягчена в определенной степени, поскольку это аутентифицированный сохраненный XSS, что означает, что злоумышленнику нужно сначала получить по крайней мере разрешения уровня соавтора, чтобы использовать недостаток веб-сайта, который создает уязвимость возможно.< /p>
Эта уязвимость оценивается как угроза среднего уровня, получив оценку Общей системы оценки уязвимостей (CVSS) 6,4 по шкале 1 – 10.
Wordfence описывает уязвимость:
“WordPress Core уязвим к сохраненным межсайтовым сценариям из-за отображаемых имен пользователей в блоке Аватар в различных версиях до 6.5.2 из-за недостаточного вывода, экранируемого в отображаемом имени. Это позволяет аутентифицированным злоумышленникам с доступом на уровне участников и выше внедрять на страницы произвольные веб-сценарии, которые будут выполняться каждый раз, когда пользователь открывает инъецированную страницу.
WordPress.org рекомендует обновить немедленно
Официальное объявление WordPress рекомендовало пользователям обновить свои установки, написав:
“Поскольку это выпуск безопасности, рекомендуется немедленно обновить ваши сайты. Backports также доступны для других основных выпусков WordPress, 6.1 и более поздних версий.&6;