Accelerated Mobile Pages WordPress 插件安装量超过 100,000 次,修复了一个中等严重程度的漏洞,该漏洞可能允许攻击者注入恶意脚本以供网站访问者执行。
通过简码进行跨站脚本编写
跨站点脚本(XSS)是最常见的漏洞之一。在 WordPress 插件的上下文中,当插件输入数据的方式无法通过验证或清理用户输入的过程充分保护时,就会发生 XSS 漏洞。
清理是阻止不需要的输入的一种方法。例如,如果插件允许用户通过输入字段添加文本,那么它还应该清理输入到该表单中的任何其他不属于该表单的内容,例如脚本或 zip 文件。
简码是 WordPress 的一项功能,允许用户在帖子和页面中插入类似于此 [example] 的标签。简码嵌入插件提供的功能或内容。这允许用户通过管理面板配置插件,然后将简码复制并粘贴到他们希望显示插件功能的帖子或页面中。
“通过简码进行跨站脚本”漏洞是一个安全漏洞,允许攻击者利用插件的简码功能将恶意脚本注入网站。
根据 WordPress 安全公司 Patchstack 最近发布的一份报告:
“这可能允许恶意行为者将恶意脚本(例如重定向、广告和其他 HTML 有效负载)注入您的网站,这些脚本将在访客访问您的网站时执行。
该漏洞已在1.0.89版本中修复。”
Wordfence 描述了该漏洞:
“由于输入净化和用户提供的属性的输出转义不足,WordPress 的加速移动页面插件在 1.0.88.1 及之前的所有版本中都容易通过插件的简码受到存储跨站点脚本攻击。”
Wordfence 还澄清说,这是一个经过身份验证的漏洞,对于此特定漏洞,黑客至少需要贡献者权限级别才能利用该漏洞。
此漏洞被 Patchstack 评为中等严重级别漏洞,在 1-10 的范围内得分为 6.5(其中 10 为最严重)。
建议用户检查其安装,以便将其修补到至少版本 1.0.89。
请在此处阅读 Patchstack 报告:
WordPress 加速移动页面插件 <= 1.0.88.1 易受跨站脚本 (XSS) 攻击
请在此处阅读 Wordfence 公告:
加速移动页面 <= 1.0.88.1 – 通过短代码进行身份验证(贡献者+)存储的跨站点脚本
