Lors drsquoun audit interne du plug in smash balloon social post Feed (également appelé Custom Facebook Feed), nous avons constaté que tous les utilisateurs ayant un compte sur un site vulnérable, comme les abonnés, avaient accès à plusieurs paramètres Ajax sensibles. Certains de ces paramètres peuvent permettre des attaques de script inter site de stockage (xss). Une attaque de stockage xss réussie peut permettre à un attaquant de stocker des scripts malveillants sur chaque message et page du site touché. lrsquoAdministrateur connecté accède à lrsquoune des URL touchées, le script peut fonctionner sur son navigateur et effectuer des actions administratives en son nom, telles que la création drsquoun nouvel administrateur et lrsquoinstallation de plug ins non autorisés.
Nous avons signalé ces vulnérabilités aux auteurs du plug in par courriel et nous avons récemment publié la version 4.0.1 pour les corriger. Nous recommandons fortement de passer à la dernière version du plug in smash balloon social post feed et de fournir une solution de sécurité consolidée, comme jetpack Security, sur votre site Web. Nom du plug in: smash balloon social post Feed Uri del plug in: https:wordpress.orgpluginscustom-facebook-feed Auteur: écraser le ballon par auteur Uri: https:smashballoon.com Vulnérabilité de script entre les sites stockés en mettant à jour toute version de configuration touchée: $ Val)
$CFF _ style Set [$Key] = $Val
}
Enregistrer les données de configuration avancées
$CFF _ Ajax = sanitize text field ($Advanced [lsquoCFF Ajaxrsquo)
Foreach (Advanced $key = gt $value)
($key = =
$CFF _ style Setup [$Key] = $ Val
CFF _ Clear cache ()
Nouvelle réponse CFF U (vrai, tableau)
lsquoCron next checkrsquo = gt $this gt get _ Cron next check ()
))
}
Ajax WP _ Ajax CFF Save settings lrsquoOpération Ajax WP CFF Save settings est chargée de mettre à jour les paramètres internes du plug in sans effectuer de vérification des permissions ou des nonces. Cela permet à tous les utilisateurs connectés drsquoinvoquer cette opération et de mettre à jour les paramètres du plug in.
Malheureusement, lrsquoun de ces paramètres, customjs, permet aux administrateurs de stocker des javascripts personnalisés dans les messages et les pages de leur site. Un attaquant peut simplement mettre à jour ce paramètre pour stocker des scripts malveillants sur le site. Échéancier 14 10 2021 premier contact avec smash balloon 18 10 2021 nous leur avons envoyé les détails de ces vulnérabilités 21 10 2021 smash balloon social post Feed 4.0.1 conclusions de publication Veuillez vérifier la version du plug in smash balloon social post Feed qui utilise votre site Web et la mettre à jour dès que possible si elle est inférieure à 4.0.1!
Chez jetpack, nous nous efforçons de nous assurer que votre site Web est protégé contre de telles vulnérabilités. Nous recommandons de mettre en place un plan de sécurité pour votre site, y compris la numérisation et la sauvegarde des fichiers malveillants. Jetpack Security est une excellente option de sécurité pour wordpress pour assurer la sécurité de votre site et de vos visiteurs. Ancien chercheur: Marc montpas remercie les autres membres de lrsquoéquipe de numérisation de jetpack pour leurs commentaires, leur aide et leurs corrections.
Correction des problèmes de sécurité dans le plug in smash balloon social post Feed
