FV Flowplayer Video Player XSS、SQL インジェクション、CSV エクスポートに対する脆弱性
別のプラグインが、増え続ける脆弱な WordPress プラグインのリストに入りました。 FLV または MP4 ビデオを投稿またはページに埋め込むために使用されている WordPress の無料プラグイン FV Flowplayer Video Player は、XSS、SQL インジェクション、および CSV エクスポートに対して脆弱であることが判明しました。現在 40,000 以上の Web サイトにインストールされており、脆弱性が報告されてからわずか 4 日前に更新されています。 7.3.14.727 より前のバージョンは、前述の攻撃に対して脆弱です。
FV Flowplayer 動画プレーヤー SQLi の脆弱性
FV Flowplayer のこのかなり重大な SQLi 脆弱性により、認証されていない攻撃者が悪意のある JavaScript コードを挿入できます。
ここで脆弱な関数は `wp_ajax_nopriv_fv_wp_flowplayer_email_signup
です ` ajax フック。 「email
」 ' 上記のスクリプトでは、電子メール フィールドへのすべての入力が受け入れられ、データは機密性の高い電子メール データベースに送信されます。
WordPress の SQLi 脆弱性の場合、Web サイトが侵害されているかどうかを判断するには、次の兆候が役立ちます。リストは次のとおりです:
- 新しい管理者ユーザーが追加されました
- 管理者ユーザーのパスワードが機能していません
- ハッカーがデータベースのスクリーンショットをメールで送信
- Authorize.net トークンが流出
- ウェブサイトの改ざん
FV Flowplayer 動画プレーヤーの XSS 脆弱性
上記の悪意のあるコードは、管理者の Web ブラウザで実行されます。
前述のように、悪意のある入力はサニタイズされずに電子メール エクスポート画面に到達します。これにより、永続的なクロスサイト スクリプティング攻撃が発生する可能性があるため、壊滅的な結果になる可能性があります。
ユーザーが `email` POST パラメータで提供したものはすべて保存されます。
XSS の脆弱性は、悪用されると WordPress Web サイトに深刻な損害を与える可能性があるため、非常に深刻です。以下にリストされているのは、XSS の脆弱性から発生する可能性があるエクスプロイトのほんの一部です。または、これを侵害された兆候として扱うこともできます:
- 別のサイトへのリダイレクト
- 悪意のあるポップアップ
- WooCommerce クレジット カードのハッキング
- ウェブサイト上の悪意のある Google 広告
- ウェブサイトのユーザー名/パスワードが侵害された
FV Flowplayer 動画プレーヤー CSV エクスポートの脆弱性
FV プレーヤーで発見された別の脆弱性は、CSV エクスポートの脆弱性です。 .この脆弱性により、すべてのゲスト ユーザーがサブスクライバーのリストをダウンロードできますが、これは実際にはかなりのプライバシー侵害です。また、特に危険なことに、このデータは、WordPress Web サイトを悪用するさまざまな悪意のある方法で使用される可能性があります.
安全のためのソリューション
脆弱性を放置しておくと、残忍なサイバー攻撃が発生する可能性があります。そして、あなたはそれを私たちのウェブサイトに望んでいません.したがって、これらの非常に予測不可能な時期にできる最善の策は、プラグインを更新することです.さらに、
最新バージョンへの更新
FV Flowplayer Video Player は、パッチを適用したバージョンを最新バージョン 7.3.15.727 としてプッシュしました。プラグインをこのバージョンに更新すると、リスクが大幅に軽減されます。
Astra WordPress セキュリティ スイート
WordPress 向けに調整された Astra Web サイト セキュリティは、XSS、SQLi、CSV、悪意のあるボット、および 100 以上のその他のエクスプロイトから Web サイトを保護する Web アプリケーション ファイアウォールを提供します。ファイアウォールに加えて、Astra のマルウェア スキャナーは Web サイトを 10 分未満でスキャンし、その後のスキャンに 3 分未満かかることが知られています。
今すぐ Astra のデモを入手するか、チャットでお問い合わせください。喜んでお手伝いいたします。
-
WPForms Plugin 1.5.9 に XSS の脆弱性が見つかりました - すぐに更新してください
WPForms プラグイン バージョン 1.5.8.2 以下は、プラグインを監査しているときに、認証済みの保存された XSS に対して脆弱であることがわかりました。データのサニタイズが改善された WPForms バージョン 1.5.9 が 2020 年 3 月 5 日にリリースされました。 CVE ID: CVE-2020-10385 まとめ WPForms は、300 万以上のアクティブ インストールを持つ人気のある WordPress フォーム プラグインです。認証されたクロスサイト スクリプティング (XSS) の脆弱性に対して脆弱であることが判明しました。 XSS は、被害者のセ
-
Nagios Log Server =2.1.6 で見つかった保存された XSS の脆弱性 - すぐに更新
一般的なログ監視および管理アプリケーションである Nagios Log Server バージョン 2.1.6 (テスト時点で最新) をテストしたところ、Stored XSS 攻撃に対して脆弱であることがわかりました。 CVE ID: CVE-2020-16157 まとめ Nagios Log Server は、組織がログを表示、並べ替え、および構成できるようにする、一般的な集中ログ管理、監視、および分析ソフトウェアです。アプリケーションのバージョン 2.1.6 は、保存された XSS に対して脆弱であることが判明しました。 ストアド クロス サイト スクリプティング攻撃では、ターゲッ