KingComposer repara la falla de XSS que afecta a 100,000 sitios internet de WordPress


Una vulnerabilidad de scripts de sitios cruzados (XSS) que afecta a 100,000 sitios world wide web ha sido parcheada en el complemento KingComposer WordPress.

KingComposer es un creador de páginas de arrastrar y soltar para dominios basados ​​en WordPress que elimina la necesidad de programar o codificar directamente sitios world-wide-web impulsados ​​por el sistema de gestión de contenido (CMS).

Ver también: Los investigadores conectan al grupo de piratería Evilnum con ataques cibernéticos contra empresas Fintech

El equipo de Wordfence Danger Intelligence descubrió el error XSS el 25 de junio. Seguimiento como CVE-2020-15299 y emitió un puntaje de gravedad de 6.1, la falla de seguridad se encontró en las funciones de Ajax utilizadas por el complemento para facilitar las características del generador de páginas.

Una de las funciones de Ajax no estaba en uso activo, pero aún se podía iniciar enviando una solicitud Post a un script llamado admin-ajax.php con un parámetro de acción establecido en kc_set up_on the internet_preset.

La función representa JavaScript en una variedad de parámetros que luego se decodifican en base64.

«Como tal, si un atacante usa la codificación foundation64 en una carga maliciosa y engaña a una víctima para que envíe una solicitud que contenga esta carga en el parámetro kc-on-line-preset-details, la carga maliciosa se decodificará y ejecutará en el navegador de la víctima «, dicen los investigadores.

CNET: China pretende dominar todo, desde 5G hasta redes sociales, pero ¿lo hará?

Las vulnerabilidades XSS reflejadas dependen de una víctima para realizar una acción certain para desencadenar un ataque. Esto se puede lograr sirviendo enlaces maliciosos en los que se debe hacer clic, por ejemplo, y si tiene éxito, podría conducir al secuestro de la sesión del navegador o la descarga y ejecución de malware.

El equipo de Wordfence Menace Intelligence intentó contactar a los desarrolladores del complemento un día después de su descubrimiento. Sin embargo, no hubo respuesta, lo que llevó al equipo a comunicarse directamente con el equipo de WordPress Plugins el 25 de junio. Para el 26 de junio, se estableció contacto con los desarrolladores de KingComposer y se lanzó una versión parcheada del complemento, la versión 2.9.5. 29 de junio.

TechRepublic: Empleos tecnológicos mejor pagados: dónde encontrarlos

El problema de seguridad se resolvió eliminando la función Ajax susceptible y obsoleta.

Al momento de escribir, el 62.1% de los usuarios ha actualizado a la versión 2.9.5, por lo que el 37.9% de los sitios world wide web con KingComposer habilitado aún están en riesgo de explotación.

Cobertura previa y relacionada


¿Tienes una propina? Póngase en contacto de forma segura a través de WhatsApp | Señal en +447713 025 499, o más en Keybase: charlie0




Enlace a la noticia primary