محدود کردن تلاش‌های ورود به سیستم وصله‌های پلاگین آسیب‌پذیری XSS ذخیره‌شده تأیید نشده شدید – WP Tavern

Wordfence دارد منتشر شده یک مشاوره امنیتی در مورد یک آسیب‌پذیری شدید و غیرقانونی ذخیره شده در Cross-Site Scripting در محدود کردن تلاش برای ورود افزونه ای که در بیش از 600000 سایت وردپرسی فعال است.

در آگوست 2021، این افزونه بیش از 900000 کاربر فعال و بیش از 2 میلیون کاربر در سال 2018 داشت، اما به نظر می رسد که به سرعت در حال مرگ است و دیگر نگهداری نمی شود، زیرا سال هاست به روز نشده است.

نسخه 1.7.2 از افزونه آسیب پذیری را اصلاح می کند. در 4 آوریل با یادداشتی در تغییرات منتشر شد که به سادگی می‌گوید “اصلاحات امنیتی”. نسخه 1.7.1 و نسخه های قبلی آسیب پذیر هستند.

Wordfence جزئیات بیشتری در مشاوره در مورد نحوه سوء استفاده از افزونه ارائه می دهد و به کاربران توصیه می کند فوراً به روز رسانی شوند.


منبع: https://wptavern.com/limit-login-attempts-plugin-patches-severe-unauthenticated-stored-xss-vulnerabilityاین مشکل امنیتی توسط محقق امنیتی Wordfence، Marco Wotschka در ژانویه 2023 کشف شد. به تیم امنیتی افزونه وردپرس ارسال شد، که تقریباً دو ماه بعد در 24 مارس 2023 دریافت گزارش را تایید کرد.

Wotschka گفت: “این می تواند توسط مهاجمان تایید نشده برای تسهیل تصاحب سایت با تزریق جاوا اسکریپت مخرب به پایگاه داده یک سایت آسیب دیده که ممکن است با دسترسی مدیر سایت به صفحه ورود اجرا شود.”