WordPress Ocean Extra Vulnerby afeta até 600.000 sites
Um aviso foi emitido para o plug-in do Ocean WordPress, suscetível a scripts cruzados armazenados, o que permite que os invasores enviem scripts maliciosos que executam no site quando um usuário visita o site afetado.
Oceano Plugin Extra WordPress
A vulnerabilidade afeta apenas o plug -in extra do Ocean pela Oceanwp, um plug -in que estende o popular tema oceânico WordPress. O plug -in adiciona recursos extras ao tema Oceanwp, como a capacidade de hospedar fontes facilmente localmente, widgets adicionais e opções de menu de navegação expandidas.
De acordo com o aviso do WordFence, a vulnerabilidade é devida à higienização insuficiente de entrada e à saída de saída.
Sinitização de entrada
Sinitização de entrada é o termo usado para descrever o processo de filtragem de que entrada no WordPress, como em um formulário ou em qualquer campo em que um usuário possa inserir algo. O objetivo é filtrar tipos inesperados de entrada, como scripts maliciosos **, **, por exemplo. Diz -se que isso é algo que o plug -in está faltando (insuficiente).
Saída de saída
A saída de saída é como a higienização de entrada, mas na outra direção, um processo de segurança que garante que tudo o que esteja sendo produzido do WordPress seja seguro. Ele verifica se a saída não possui caracteres que podem ser interpretados por um navegador como código e subsequentemente executados, como o que é encontrado em um script de script cruzado armazenado (XSS). Essa é a outra coisa que faltava o plug -in extra.
Juntos, a invasão insuficiente de entrada e a saída insuficiente de saída permitem que os invasores enviem um script malicioso e a saída no site WordPress.
Os usuários solicitaram a atualização do plug -in
A vulnerabilidade afeta apenas usuários autenticados com privilégios no nível do colaborador ou superior, até certo ponto, mitigando o nível de ameaça dessa exploração específica. Essa vulnerabilidade afeta as versões até e incluindo a versão 2.4.9. Os usuários são aconselhados a atualizar seu plug -in para a versão mais recente, atualmente 2.5.0.
Imagem em destaque de Shutterstock/Nithid
