Il team Wordfence analisti in sicurezza hanno segnalato una serie di vulnerabilità del controllo degli accessi riferibile al plugin KingComposer, un plug-in di WordPress installato su oltre 100.000 siti. La vulnerabilità è di tipo Cross-Site Scripting (XSS) attualmente ancora seenza patch.
Si consiglia vivamente di rimanere vigili quando si fa clic su collegamenti o allegati in commenti, e-mail e altre fonti di comunicazione a meno che non si sia sicuri della loro integrità e legittimità.
Note patch:
public function install_online_preset(){ $data = isset($_POST['kc-online-preset-data']) ? esc_attr($_POST['kc-online-preset-data']) : ''; $link = isset($_POST['kc-online-preset-link']) ? esc_url($_POST['kc-online-preset-link']) : ''; $link = str_replace( 'http://features.kingcomposer.com/', 'https://kingcomposer.com/presets/', $link); $callback = ' <script type="text/javascript"> top.kc.cfg.preset_link = "'.$link.'"; top.kc.backbone.push(\''.str_replace( "\n", '\'+"\n"+\'', base64_decode($data)).'\'); top.kc.tools.popup.close_all(); </script>'; echo $callback; exit; }
Questa funzione esegue il rendering di JavaScript in base al contenuto dei parametri kc-online-preset-link
e kc-online-preset-data
. Dal momento che utilizza le funzioni esc_attr
e esc_url
, a prima vista sembra sicuro. Sfortunatamente, tuttavia, i contenuti del kc-online-preset-data
parametro vengono decodificati in base64 dopo questo passaggio.
Kaspersky ha sviluppato una propria infrastruttura thin client basata su KasperskyOS per garantire una connessione…
Un semplice ritardo di 600 ms ha portato alla scoperta di una delle più pericolose…
Sono tante. Troppe. E ricordarle tutte e praticamente impossibile. Ecco perché sono nati i password…
Microsoft ha presentato Copilot for Security, un “robocop” per chi si occupa di sicurezza
Ecco ProPositive, il dispositivo antiaggressione indossabile dotato di due livelli di sicurezza
Gli hacker scoprono un nuovo metodo per distribuire il trojan di accesso remoto (RAT) Remcos,…
Abbonati ad Hackerjournal per un anno a 33,90 € con digitale in omaggio anziché 46,90 €!
CLICCA QUI PER ABBONARTI!