Un avis a été émis pour le plugin WordPress Ocean Extra qui est sensible aux scripts entre le site transversal, ce qui permet aux attaquants de télécharger des scripts malveillants qui s’exécutent sur le site lorsqu’un utilisateur visite le site Web affecté.
Plugin WordPress Ocean Extra
La vulnérabilité n’affecte que le plugin Ocean Extra par OceanWP, un plugin qui étend le thème populaire OceanWP WordPress. Le plugin ajoute des fonctionnalités supplémentaires au thème OceanWP, telles que la possibilité d’héberger facilement les polices localement, des widgets supplémentaires et des options de menu de navigation élargie.
Selon la Wordfence consultatifla vulnérabilité est due à une insuffisance de désinfection des entrées et à l’échappement de la sortie.
Désinfection d’entrée
La désinfection d’entrée est le terme utilisé pour décrire le processus de filtrage de ce qui est entré dans WordPress, comme dans un formulaire ou dans tout champ où un utilisateur peut saisir quelque chose. L’objectif est de filtrer les types d’entrée inattendus, comme les scripts malveillants **, ** par exemple. C’est quelque chose dont le plugin est manqué (insuffisant).
Sortie de sortie
L’échappement de sortie est un peu comme la désinfection des entrées, mais dans l’autre sens, un processus de sécurité qui garantit que tout ce qui est en cours de sortie de WordPress est sûr. Il vérifie que la sortie n’a pas de caractères qui peuvent être interprétés par un navigateur comme du code et exécutés par la suite, tels que ce qui se trouve dans un exploit de scripts inter-sites (XSS) stocké. C’est l’autre chose que le plugin Ocean supplémentaire manquait.
Ensemble, la désinfecture d’entrée insuffisante et la sortie insuffisante s’échappent permettent aux attaquants de télécharger un script malveillant et de le faire sortir sur le site WordPress.
Les utilisateurs ont demandé à mettre à jour le plugin
La vulnérabilité n’affecte que les utilisateurs authentifiés avec des privilèges au niveau des contributeurs ou plus, dans une certaine mesure atténuant le niveau de menace de cet exploit spécifique. Cette vulnérabilité affecte les versions jusqu’à et y compris la version 2.4.9. Il est conseillé aux utilisateurs de mettre à jour leur plugin vers la dernière version, actuellement 2.5.0.
Image en vedette par Shutterstock / Nithid
Commentaires