Еще один плагин WordPress подвергает риску сотни тысяч сайтов

Еще один день, еще одна уязвимость плагина WordPress, затрагивающая сотни тысяч веб-сайтов.

Эта последняя проблема — уязвимость межсайтового скриптинга (XSS) — была обнаружена командой Wordfence Threat Intelligence в Header Footer Code Manager, плагине WordPress, который позволяет веб-мастерам добавлять фрагменты кода в верхние и нижние колонтитулы своих веб-сайтов.

Сама уязвимость связана с возможностью администратора просматривать список добавленных на сайт фрагментов, включая ссылки для редактирования или удаления существующих фрагментов. Обманным путем заставив администратора посетить форму, отправленную самостоятельно, злоумышленник может выполнить JavaScript в браузере и, таким образом, получить те же привилегии, что и сам администратор. Злоумышленник также может создать другие вредоносные учетные записи администратора или даже установить бэкдоры.

Более 300.000 XNUMX потенциальных жертв

Исследователи добавляют, что именно этот плагин используется для добавления кода на сайт, а это означает, что злоумышленник может атаковать даже посетителей сайта, даже на сайтах, где редактирование файлов и создание пользователей заблокированы.

Поскольку злоумышленник должен очень хорошо знать своих жертв и распространять соответствующие ссылки и формы, можно с уверенностью предположить, что эту уязвимость можно использовать только в особо целенаправленных атаках.

По словам исследователей, плагин Header Footer Code Manager был установлен более 300.000 1.1.17 раз, и призвали пользователей немедленно обновить плагин. Авторы плагина были вовремя уведомлены об уязвимости и в течение трёх дней выпустили патч. Последняя версия плагина имеет номер 18 и стала доступна 2022 февраля XNUMX года.

WordPress — один из самых популярных конструкторов веб-сайтов в мире, поскольку около 37% всех веб-сайтов размещены на этом инструменте. Это в общей сложности 455 миллионов веб-сайтов. Кроме того, WordPress поддерживает почти две трети (62%) всех веб-сайтов CMS.

Это делает его основной целью для злоумышленников, которые часто используют десятки тысяч доступных плагинов WordPress в качестве точки входа. Вот почему исследователи кибербезопасности всегда призывают пользователей WordPress постоянно обновлять свои веб-сайты и плагины.