Популярный плагин WordPress оказался уязвимым для XSS
По сообщениям экспертов, хакеры используют уязвимость Неаутентифицированный хранимый межсайтовый скриптинг (XSS) в атаке WordPress для атак на веб-сайты.
Исследователи кибербезопасности из Defiant обнаружили уязвимость в баннере Beautiful Cookie Consent Banner, после чего в Японии было запущено более 40 000 активных установок.
Киберпреступники могут использовать XSS для различных целей: от захвата конфиденциальных данных и сеансов до полного захвата уязвимого веб-сайта.
Миллионы пострадавших сайтов
Создатели Beautiful Cookie недавно подтвердили исправление для этой уязвимости, поэтому, если вы включите приложение, обещают, что оно будет обновлено до версии 2.10.2.
«По данным статистики, уязвимость активно атаковали с 5 февраля 2023 года, но это самая крупная атака на него, которую мы видели», — сказал Рэм Галл из Defiant с почти 14 000 IP-адресов с 23 мая 2023 года, и атаки продолжаются».
Положительным моментом в новостях является то, что эксплойт применим, вероятно, неправильно сконфигурирован об этом разом, что вряд ли он развернет полезную нагрузку, даже если он применим на веб-сайте, на котором заупщена старая и уязвимая версия дополнена часто призывают веб-мастеров и владельцев установить патч, потому что даже неудачная попытка может привести к увеличению размера плагина.
Патч также решает эту проблему, так как включает восстанавливать себя.
Более того, как только хакер осознал свою ошибку, он может быстро исправить ее и подвергнуть риску заразить сайты, которые ще не исправлены.