Correction des problèmes de sécurité dans le plug – in smash balloon social post Feed

Lors d’un audit interne du plug – in smash balloon social post Feed (également appelé Custom Facebook Feed), nous avons constaté que tous les utilisateurs ayant un compte sur un site vulnérable, comme les abonnés, avaient accès à plusieurs paramètres Ajax sensibles. Certains de ces paramètres peuvent permettre des attaques de script inter – site de stockage (xss). Une attaque de stockage xss réussie peut permettre à un attaquant de stocker des scripts malveillants sur chaque message et page du site touché. Si l’Administrateur connecté accède à l’une des URL touchées, le script peut fonctionner sur son navigateur et effectuer des actions administratives en son nom, telles que la création d’un nouvel administrateur et l’installation de plug – ins non autorisés.
Nous avons signalé ces vulnérabilités aux auteurs du plug – in par courriel et nous avons récemment publié la version 4.0.1 pour les corriger. Nous vous recommandons fortement de passer à la dernière version du plug – in smash balloon social post feed et de fournir une solution de sécurité consolidée, comme jetpack Security, sur votre site Web. Nom du plug – in: smash balloon social post Feed Uri del plug – in: https:\/\/wordpress.org\/plugins\/custom-facebook-feed\/ Auteur: écraser le ballon par auteur Uri: https:\/\/smashballoon.com\/ Vulnérabilité de script entre les sites stockés en mettant à jour toute version de configuration touchée: $ Val)
$CFF _ style Set [$Key] = $Val;
}
Enregistrer les données de configuration avancées
$CFF _ Ajax = sanitize text field ($Advanced [‘CFF Ajax’);
Foreach (Advanced $key = > $value)
Si ($key = = \
$CFF _ style Setup [$Key] = $ Val;
CFF _ Clear cache ();
Nouvelle réponse CFF \ \ U (vrai, tableau)
‘Cron next check’ = > $this – > get _ Cron next check ()
));
}
Ajax WP _ Ajax CFF Save settings l’Opération Ajax WP CFF Save settings est chargée de mettre à jour les paramètres internes du plug – in sans effectuer de vérification des permissions ou des nonces. Cela permet à tous les utilisateurs connectés d’invoquer cette opération et de mettre à jour les paramètres du plug – in.
Malheureusement, l’un de ces paramètres, customjs, permet aux administrateurs de stocker des javascripts personnalisés dans les messages et les pages de leur site. Un attaquant peut simplement mettre à jour ce paramètre pour stocker des scripts malveillants sur le site. Échéancier 14 – 10 – 2021 – premier contact avec smash balloon 18 – 10 – 2021 – nous leur avons envoyé les détails de ces vulnérabilités 21 – 10 – 2021 – smash balloon social post Feed 4.0.1 conclusions de publication Veuillez vérifier la version du plug – in smash balloon social post Feed qui utilise votre site Web et la mettre à jour dès que possible si elle est inférieure à 4.0.1!
Chez jetpack, nous nous efforçons de nous assurer que votre site Web est protégé contre de telles vulnérabilités. Nous vous recommandons de mettre en place un plan de sécurité pour votre site, y compris la numérisation et la sauvegarde des fichiers malveillants. Jetpack Security est une excellente option de sécurité pour wordpress pour assurer la sécurité de votre site et de vos visiteurs. Ancien chercheur: Marc montpas remercie les autres membres de l’équipe de numérisation de jetpack pour leurs commentaires, leur aide et leurs corrections.