Posts Recentes:

OnePlus fez uma ‘pausa reflexiva’ de três anos antes de aumentar a bateria do seu smartwatch

Estamos em 2024. Todos os smartwatches devem oferecer...

PPC Facilitado: 4 Estratégias para Economizar Tempo com Ferramentas Gratuitas

Esta postagem foi patrocinada por Redesign.co. As opiniões expressas...

Google Responde a Evidências de Viés de Algoritmo em Avaliações

O Google respondeu a um pequeno editor cujo...

Vulnerabilidade do plug-in do pacote WordPress SiteOrigin Widgets afeta mais de 600.000 sites


O plug-in SiteOrigin Widgets Bundle WordPress com mais de 600.000 instalações corrigiu uma vulnerabilidade de script entre sites armazenados autenticados (XSS) que poderia permitir que invasores carregassem arquivos arbitrários e expusesse os visitantes do site a scripts maliciosos.

Plug-in do pacote de widgets do SiteOrigin

O plugin SiteOrigins Widgets, com mais de 600.000 instalações ativas, fornece uma maneira de adicionar facilmente uma infinidade de funções de widget, como controles deslizantes, carrosséis, mapas, alterar a forma como as postagens do blog são exibidas e outros elementos úteis da página da web.

Vulnerabilidade de script entre sites armazenados

Uma vulnerabilidade Cross-Site Scripting (XSS) é uma falha que permite a um hacker injetar (carregar) scripts maliciosos. Nos plug-ins do WordPress, esses tipos de vulnerabilidades surgem de falhas em como os dados de entrada não são devidamente higienizados (filtrados para dados não confiáveis) e também da proteção inadequada dos dados de saída (chamados de dados de escape).

Essa vulnerabilidade específica do XSS é chamada de XSS armazenado porque o invasor é capaz de injetar o código malicioso no servidor. De acordo com o Open Worldwide Application Security Project (OWASP), sem fins lucrativos, a capacidade de lançar um ataque diretamente do site o torna particularmente preocupante.

OWASP descreve a ameaça XSS armazenada:

“Esse tipo de exploração, conhecido como Stored XSS, é particularmente insidioso porque a indireção causada pelo armazenamento de dados torna mais difícil a identificação da ameaça e aumenta a possibilidade de o ataque afetar vários usuários. “

Em um ataque XSS, onde um script foi injetado com sucesso, o invasor envia um script prejudicial a um visitante desavisado do site. O navegador do usuário, por confiar no site, executa o arquivo. Isso pode permitir que o invasor acesse cookies, tokens de sessão e outros dados confidenciais do site.

Descrição da vulnerabilidade

A vulnerabilidade surgiu por causa de falhas na higienização de insumos e no escape de dados.

A página do desenvolvedor WordPress para segurança explica a higienização:

“Higienizar a entrada é o processo de proteger/limpar/filtrar os dados de entrada. A validação é preferível à sanitização porque a validação é mais específica. Mas quando “mais específico” não é possível, a higienização é a segunda melhor opção.”

O escape de dados em um plugin do WordPress é uma função de segurança que filtra saídas indesejadas.

Ambas as funções precisavam de melhorias no plugin SiteOrigins Widgets Bundle.

Wordfence descreveu a vulnerabilidade:

“O plug-in SiteOrigin Widgets Bundle para WordPress é vulnerável a scripts entre sites armazenados por meio do parâmetro onclick em todas as versões até 1.58.3, inclusive, devido à limpeza insuficiente de entrada e escape de saída.”

Esta vulnerabilidade requer autenticação antes de ser executada, o que significa que o invasor precisa de pelo menos acesso de nível de contribuidor para poder lançar um ataque.

Ação recomendada:

A vulnerabilidade recebeu um nível de severidade CVSS médio, com pontuação 6,4/10. Os usuários do plug-in devem considerar a atualização para a versão mais recente, que é a versão 1.58.5, embora a vulnerabilidade tenha sido corrigida na versão 1.58.4.

Leia o aviso de vulnerabilidade do Wordfence:

Pacote de widgets SiteOrigin <= 1.58.3 – Scripting entre sites armazenados autenticados (Contribuidor+)

Últimas

OnePlus fez uma ‘pausa reflexiva’ de três anos antes de aumentar a bateria do seu smartwatch

Estamos em 2024. Todos os smartwatches devem oferecer...

PPC Facilitado: 4 Estratégias para Economizar Tempo com Ferramentas Gratuitas

Esta postagem foi patrocinada por Redesign.co. As opiniões expressas...

Google Responde a Evidências de Viés de Algoritmo em Avaliações

O Google respondeu a um pequeno editor cujo...

YouTube Analytics: Shorts, Vídeos sob Demanda e Lives Mais Lucrativos

O YouTube Analytics agora informa aos criadores o conteúdo...

Assine

[tds_leads input_placeholder="Email address" btn_horiz_align="content-horiz-center" pp_msg="SSd2ZSUyMHJlYWQlMjBhbmQlMjBhY2NlcHQlMjB0aGUlMjAlM0NhJTIwaHJlZiUzRCUyMiUyMyUyMiUzRVByaXZhY3klMjBQb2xpY3klM0MlMkZhJTNFLg==" msg_composer="" display="column" gap="10" input_padd="eyJhbGwiOiIxM3B4IDEwcHgiLCJsYW5kc2NhcGUiOiIxMnB4IDhweCIsInBvcnRyYWl0IjoiMTBweCA2cHgifQ==" input_border="1" btn_text="I want in" btn_icon_size="eyJhbGwiOiIxOSIsImxhbmRzY2FwZSI6IjE3IiwicG9ydHJhaXQiOiIxNSJ9" btn_icon_space="eyJhbGwiOiI1IiwicG9ydHJhaXQiOiIzIn0=" btn_radius="0" input_radius="0" f_msg_font_family="831" f_msg_font_size="eyJhbGwiOiIxMiIsInBvcnRyYWl0IjoiMTIifQ==" f_msg_font_weight="400" f_msg_font_line_height="1.4" f_input_font_family="831" f_input_font_size="eyJhbGwiOiIxMyIsImxhbmRzY2FwZSI6IjEzIiwicG9ydHJhaXQiOiIxMiJ9" f_input_font_line_height="1.2" f_btn_font_family="831" f_input_font_weight="400" f_btn_font_size="eyJhbGwiOiIxMiIsImxhbmRzY2FwZSI6IjEyIiwicG9ydHJhaXQiOiIxMSJ9" f_btn_font_line_height="1.2" f_btn_font_weight="400" pp_check_color="#000000" pp_check_color_a="var(--center-demo-1)" pp_check_color_a_h="var(--center-demo-2)" f_btn_font_transform="uppercase" tdc_css="eyJhbGwiOnsibWFyZ2luLWJvdHRvbSI6IjQwIiwiZGlzcGxheSI6IiJ9LCJwb3J0cmFpdCI6eyJtYXJnaW4tYm90dG9tIjoiMzAiLCJkaXNwbGF5IjoiIn0sInBvcnRyYWl0X21heF93aWR0aCI6MTAxOCwicG9ydHJhaXRfbWluX3dpZHRoIjo3Njh9" btn_bg="var(--center-demo-1)" btn_bg_h="var(--center-demo-2)" title_space="eyJwb3J0cmFpdCI6IjEyIiwibGFuZHNjYXBlIjoiMTQiLCJhbGwiOiIxOCJ9" msg_space="eyJsYW5kc2NhcGUiOiIwIDAgMTJweCJ9" btn_padd="eyJsYW5kc2NhcGUiOiIxMiIsInBvcnRyYWl0IjoiMTBweCIsImFsbCI6IjE3cHgifQ==" msg_padd="eyJwb3J0cmFpdCI6IjZweCAxMHB4In0=" msg_err_radius="0" msg_succ_bg="var(--center-demo-1)" msg_succ_radius="0" f_msg_font_spacing="0.5"]
spot_img

Veja Também

OnePlus fez uma ‘pausa reflexiva’ de três anos antes de aumentar a bateria do seu smartwatch

Estamos em 2024. Todos os smartwatches devem oferecer...

PPC Facilitado: 4 Estratégias para Economizar Tempo com Ferramentas Gratuitas

Esta postagem foi patrocinada por Redesign.co. As opiniões expressas...

Google Responde a Evidências de Viés de Algoritmo em Avaliações

O Google respondeu a um pequeno editor cujo...

YouTube Analytics: Shorts, Vídeos sob Demanda e Lives Mais Lucrativos

O YouTube Analytics agora informa aos criadores o conteúdo...

Como Criar um Tipo de Postagem Personalizado no WordPress

WordPress é um poderoso sistema de gerenciamento de...
spot_img

OnePlus fez uma ‘pausa reflexiva’ de três anos antes de aumentar a bateria do seu smartwatch

Estamos em 2024. Todos os smartwatches devem oferecer vários dias de duração da bateria, ponto final. Do jeito que as coisas estão...

PPC Facilitado: 4 Estratégias para Economizar Tempo com Ferramentas Gratuitas

Esta postagem foi patrocinada por Redesign.co. As opiniões expressas neste artigo são de responsabilidade do patrocinador.Cansado de gastar demais em ferramentas PPC que fornecem...

Google Responde a Evidências de Viés de Algoritmo em Avaliações

O Google respondeu a um pequeno editor cujo artigo ofereceu um passo a passo de como os grandes editores corporativos estão manipulando o...