可防止有害脚本传递到网站浏览器
存储型跨站脚本漏洞 安全研究人员发布了有关影响页面构建器插件 漏洞的公告。 洞通常出现在允许用户输入的主题或插件的一部分中。当对输入内容的过滤不充分时(称为输入清理的过程),就会出现该缺陷。导致 的另一个缺陷是输出转义不足,这是针对插件输出的一种安全措施。 此特定漏洞称为存储型 。存储意味着攻击者能够将脚本直接注入网络服务器。这与反射型不同,反射型 要求受害者单击指向受攻击网站的链接才能执行恶意脚本。通常认为存储的比反射的 更危险。
这使得该漏洞更难以利用
中导致 漏洞的安全缺陷是 日本电话号码 由于输入清理和输出转义不足造成的。 描述了该漏洞: 的 页面生成器插件在 2.8.0.5 及之前的所有版本中,由于输入清理和用户提供的属性的输出转义不足,很容易通过插件的 存储跨站点脚本攻击。这使得具有贡献者级别及以上访问权限的经过身份验证的攻击者可以在页面中注入任意 脚本,每当用户访问注入的页面时就会执行这些脚本。” 该漏洞的评级为 6.4,属于中等威胁级别。攻击者必须至少获得贡献者级别的权限级别才能发起攻击。 变更日志记录了更新中包含的内容,并指出在版本 2.8.0.7 中发布了补丁。
变更日志指出
“修复使用 时按钮和按钮组 巴哈马 Whatsapp 号码列表 模块中问题” 建议的操作:在攻击者能够利用漏洞之前更新和修补漏洞通常是一个很好的做法。最佳实践是在实时推送更新之前先暂存站点,以防更新的插件与其他插件或主题冲突。 阅读 告: 页面构建器 <= 2.8.0.5 – 通过按钮进行身份验证(贡献者+)存储的跨站点脚本宣布即时使用 无需登录 发布了 免费版本,可以组织世界各地的信息并使其可用,就像使用搜索引擎一样 罗杰·蒙作人员 罗杰·蒙蒂 2024 年 4 月 1 日 ⋅ 3 分钟阅读 64 分享 6.8K 阅读 OpenAI 费即时 宣布,从今天开始,任何人都可以使用它,而无需注册或登录该服务。
