Как опытный специалист по цифровому маркетингу с более чем десятилетним опытом работы за плечами, я не могу переоценить важность обеспечения безопасности наших сайтов WordPress, особенно при работе с популярными конструкторами страниц, такими как Elementor. Недавний патч для плагина Jeg Elementor Kit служит ярким напоминанием о продолжающейся борьбе с киберугрозами, с которыми мы сталкиваемся ежедневно.
📊 Сделай правильный выбор!
ФинБолт подскажет, когда покупать и когда продавать для максимальной выгоды!
Как опытный веб-мастер, я только что узнал, что недавний патч был применен к популярному надстройке плагина WordPress для конструктора страниц Elementor. Этот патч устраняет уязвимость, затрагивающую около 200 000 установок. Уязвимость, обнаруженная в плагине Jeg Elementor Kit, позволяет прошедшим проверку подлинности злоумышленникам загружать вредоносные скрипты на ничего не подозревающие сайты. Крайне важно обновить этот плагин как можно скорее, чтобы защитить ваш сайт от потенциальных угроз.
Сохраненные межсайтовые сценарии (сохраненный XSS)
Обновление решило проблему, которая потенциально позволяла хакеру загружать вредоносные файлы на веб-сервер, которые могли активироваться при посещении страницы пользователем, аналогично уязвимости хранимого межсайтового сценария. Это отличается от отраженного XSS, где атака требует, чтобы кто-то щелкнул ссылку, которая запускает эксплойт, без его ведома. Оба типа межсайтового сценария могут привести к полному контролю над сайтом.
Недостаточная санитарная обработка и утечка продукции
Другая проблема, которая была исправлена, касалась практики безопасности под названием «Эскейпирование вывода», которая представляет собой процесс, аналогичный фильтрации, который применяется к тому, что выводит сам плагин, предотвращая вывод им, например, вредоносного сценария. В частности, он преобразует символы, которые можно интерпретировать как код, не позволяя браузеру пользователя интерпретировать выходные данные как код и выполнять вредоносный сценарий.
Плагин WordPress под названием Jeg Elementor Kit, который используется до версии 2.6.7, содержит уязвимость. Эта уязвимость позволяет злоумышленникам, имеющим уровень доступа «Автор» или выше, использовать ее посредством неправильно очищенных и экранированных загрузок файлов SVG. В результате они могут вставлять на страницы непроверенные веб-скрипты, которые запускаются каждый раз, когда пользователь открывает связанный файл SVG.
Угроза среднего уровня
Уязвимость получила оценку угрозы среднего уровня 6,4 по шкале от 1 до 10. Пользователям рекомендуется выполнить обновление до Jeg Elementor Kit версии 2.6.8 (или выше, если доступно).
Jeg Elementor Kit <= 2.6.7 – аутентифицированный (Автор+) сохранение межсайтовых сценариев через SVG-файл
Смотрите также
- Топ-7 самых эмоционально захватывающих рекламных роликов Олимпийских игр (кампании P&G побеждают)
- Списки соответствия клиентов Google Ads будут иметь срок действия 540 дней
- Акции LKOH. ЛУКОЙЛ: прогноз акций.
- Getty Images: обновленный генеративный искусственный интеллект расширяет границы возможного
- Google рассказал, когда следует распределять нагрузку между поддоменами или другими доменами
- Программирование Примечание: Офлайн во время Шавуот с понедельника по вторник
- [Потеря трафика?] 4 простых шага, чтобы увидеть, как AIO Google влияет на ваше SEO
- Google может расширить окно поискового запроса, чтобы отображать больше части запроса.
- Интеграция Google Lens для YouTube Shorts: Поиск внутри видео.
- Разработчики систем – как ИИ меняет работу SEO
2024-08-28 20:38