admin 
Dėl pažeidžiamumo „TablePress WordPress“ papildinyje užpuolikai suteikia galimybę švirkšti kenkėjiškus scenarijus, kurie veikia, kai kas nors apsilanko pažeistame puslapyje. Tai turi įtakos visoms versijoms iki 3.2 versijos ir įskaitant.
„TablePress WordPress“ papildinys
„TablePress“ papildinys naudojamas daugiau nei 700 000 svetainių. Tai suteikia vartotojams galimybę kurti ir valdyti lenteles su interaktyviomis funkcijomis, tokiomis kaip rūšiavimas, puslapiai ir paieška.
Kas sukėlė pažeidžiamumą
Problema kilo dėl to, kad trūko įvesties sanitarijos ir išvesties išvengimo, kaip papildinys tvarkė parametrą „Shortcode_debug“. Tai yra pagrindiniai saugumo veiksmai, apsaugantys svetaines nuo kenksmingo įvesties ir nesaugios išvesties.
„WordFence Advisory“ paaiškina:
„„ WordPress “„ TablePress “papildinys yra pažeidžiamas saugomo scenarijaus scenarijaus per„ Shortcode_debug “parametrą visose versijose iki 3,2 ir, įskaitant, 3.2 dėl nepakankamos įvesties sanitarijos ir išvesties išėjimo.“
Įvesties sanitarija
Įveskite sanitarijos filtrą, ką vartotojai įveda į formas ar laukus. Jis blokuoja kenksmingą įvestį, pavyzdžiui, kenkėjiškus scenarijus. „TablePress“ visiškai netaikė šio saugumo veiksmo.
Išėjimo išėjimas
Išvestis pabėga panašus, tačiau jis veikia priešinga kryptimi, filtruojant tai, kas išeina į svetainę. Išvestis išvengta išvengti svetainės leidybos simbolių, kuriuos naršyklės gali interpretuoti kaip kodą.
Būtent taip gali nutikti su „TablePress“, nes jame nėra pakankamai įvesties sanitarijos, o tai leidžia užpuolikui įkelti scenarijų ir nepakankamai pabėgti, kad svetainė nepatektų į kenkėjiškus scenarijus į tiesioginę svetainę. Būtent tai įgalina saugomus skersinių scenarijų (XSS) atakas.
Kadangi trūko abiejų apsaugos priemonių, kažkas, turintis prieigą prie bendraautorių lygio ar aukštesnis, galėtų įkelti scenarijų, kuris bus saugomas ir veikiamas, kai tik lankomasi puslapis. Tai, kad bendraautoris lygio įgaliojimas yra būtinas tam tikru mastu sušvelninti išpuolio potencialą.
Papildinių vartotojams rekomenduojama atnaujinti papildinį į 3.2.1 ar aukštesnę versiją.
Pateiktas „Shutterstock“/„Nithid“ vaizdas
