Уязвимость плагина WordPress Popular Posts затрагивает более 100 тысяч сайтов

от

Было дано предупреждение о серьезной слабости WordPress, которая позволяет потенциальным хакерам вставлять случайные короткие коды на веб-сайты, использующие плагин WordPress Popular Posts, без необходимости учетной записи пользователя. Это означает, что атаки могут быть инициированы независимо от наличия учетной записи на сайте.

WordPress Popular Posts, установленный на более чем 100 000 веб-сайтов по всему миру, показывает наиболее просматриваемые публикации за любой конкретный период времени. Этот универсальный плагин доступен на шестнадцати языках для глобального использования. Он предлагает возможности кэширования для повышения производительности и удобную консоль администратора, где менеджеры веб-сайтов могут отслеживать статистику популярности.

Уязвимость шорткода WordPress

[вставка-контактная-форма]. Затем этот шорткод автоматически вставляет необходимый скрипт, выполняющий нужную функцию.

WordPress постепенно движется к использованию блоков со специфическими функциями вместо того, чтобы полагаться на шорткоды. Официальный сайт разработчика WordPress предлагает разработчикам плагинов и тем прекратить использование шорткодов, отдав предпочтение выделенным блокам. Это изменение в первую очередь связано с более упрощенным пользовательским интерфейсом выбора и вставки блока, а не с настройкой короткого кода внутри плагина и встраиванием его в веб-страницу вручную.

WordPress советует:

«Мы бы рекомендовали людям со временем обновить свои короткие коды до блоков».

Как эксперт по SEO, я недавно обнаружил проблему в плагине WordPress Popular Posts — она связана с использованием функций шорткодов, а точнее, компонента do_shortcode, который представляет собой встроенную функцию WordPress для анализа и выполнения шорткодов. К сожалению, эта функция требует очистки ввода и соблюдения общих протоколов безопасности плагинов и тем WordPress, чтобы предотвратить потенциальные уязвимости, подобные той, которую я обнаружил.

Плагин WordPress Popular Posts в версиях до 7.1.0 имеет недостаток безопасности. Эта проблема связана с тем, что программное обеспечение не проверяет должным образом предоставленные пользователем данные перед запуском функции короткого кода. В результате неавторизованные пользователи могут воспользоваться этим и выполнить свои собственные короткие коды.

Проще говоря, «проверка значения» относится к процессу проверки того, что данные, введенные пользователем («значение»), такие как содержимое короткого кода, соответствуют определенным стандартам безопасности и соответствуют ожидаемому формату ввода до их отправки. использование на сайте.

Официальный журнал изменений плагина

Как опытный веб-мастер, я всегда подчеркиваю важность ведения журнала изменений — записи с подробным описанием всех изменений, внесенных в мои плагины. Этот журнал служит ценным ресурсом для пользователей, предлагая им информацию о том, что обновляется. Понимая эти изменения, они могут принимать обоснованные решения о том, следует ли обновлять свою установку, обеспечивая прозрачность на протяжении всего нашего сотрудничества.

Плагин WordPress Popular Posts ответственно прозрачен в своей документации по обновлению.

Журнал изменений плагина сообщает:

Решена проблема, связанная с неожиданным выполнением коротких кодов, благодаря открытиям Майкайерса и команды Wordfence!»

Или просто,

«Решает проблему, приводящую к непреднамеренному выполнению короткого кода. Благодарим Майкайерса и команду Wordfence за их открытие!

Рекомендуемые действия

Все плагины WordPress Popular Posts до версии 7.1.0 включительно были идентифицированы как имеющие уязвимости. Wordfence рекомендует пользователям обновиться до самой последней версии — 7.2.0.

Популярные публикации WordPress <= 7.1.0 – выполнение произвольного короткого кода без аутентификации

Смотрите также

2025-01-05 22:08