En esta página: [esconder]
Se ha encontrado que el complemento KingComposer WordPress contiene varias vulnerabilidades que podrían conducir al control de acceso a sitios comprometidos. El complemento se ha instalado en más de 100,000 sitios. Durante su investigación, Los investigadores de Wordfence descubrieron una secuencia de comandos cruzada reflejada sin parches (XSS) falla en el complemento KingComposer, identificado como CVE-2020-15299.
Poco después del descubrimiento de la vulnerabilidad., los investigadores trataron de contactar a los desarrolladores del complemento. sin embargo, no recibieron respuesta en buenos días posteriores, así que contactaron al equipo de WordPress Plugins. “El equipo de WordPress Plugins respondió al día siguiente y nos hizo saber que estaban en contacto con los desarrolladores del complemento KingComposer, y se lanzó un parche en junio 29, 2020,"Informe de Wordfence dice.
¿Qué es una secuencia de comandos reflejada entre sitios? (XSS) vulnerabilidad?
Los investigadores de Wordfence detectaron recientemente un aumento de 30 veces en ataques específicos, llamado secuencia de comandos entre sitios. Los ataques XSS pueden describirse como un tipo de inyección, en el que se inyectan scripts maliciosos en sitios web confiables. Otro tipo de ataques populares contra sitios de WordPress son la falsificación de solicitudes entre sitios (CSRF) ataques, donde un atacante puede engañar a una víctima para que haga clic en un enlace especialmente diseñado para realizar cambios en un sitio.
Entonces, ¿Cuál sería un ataque XSS reflejado??
Las vulnerabilidades XSS reflejadas tienen características de ambas vulnerabilidades. Muy parecido a un ataque CSRF, La explotación de una vulnerabilidad Reflected XSS generalmente depende de que un atacante engañe a su víctima para que haga clic en un enlace malicioso que la envía al sitio vulnerable junto con una carga maliciosa. Esto se puede hacer de varias maneras., pero es común vincular primero a un sitio intermedio controlado por el atacante, que luego envía una solicitud que contiene una carga maliciosa al sitio vulnerable en nombre de la víctima.
Más detalles sobre el vulnerable complemento KingComposer
Como ya fue mencionado, se ha encontrado que el complemento contiene una secuencia de comandos reflejada entre sitios (XSS) vulnerabilidad – CVE-2020-15299. Más específicamente, vulnerable es el KingComposer - Constructor de páginas de arrastrar y soltar gratis por King-Theme. Las versiones afectadas por el problema incluyen versiones anteriores a 2.9.5. En otras palabras, los usuarios deben actualizar sus complementos a la última versión que es 2.9.5.
KingComposer es un complemento de WordPress que ha sido creado para Arrastrar y soltar construcción de página. El complemento registra una serie de acciones AJAX para lograr este propósito. "Una de estas acciones AJAX ya no fue utilizada activamente por el complemento, pero aún podría usarse enviando una solicitud POST a wp-admin / admin-ajax.php con el parámetro de acción establecido en kc_install_online_preset,"Wordfence dijo.