FV Flowplayer Video Player XSS、SQL インジェクション、CSV エクスポートに対する脆弱性

別のプラグインが、増え続ける脆弱な WordPress プラグインのリストに入りました。 FLV または MP4 ビデオを投稿またはページに埋め込むために使用されている WordPress の無料プラグイン FV Flowplayer Video Player は、XSS、SQL インジェクション、および CSV エクスポートに対して脆弱であることが判明しました。現在 40,000 以上の Web サイトにインストールされており、脆弱性が報告されてからわずか 4 日前に更新されています。 7.3.14.727 より前のバージョンは、前述の攻撃に対して脆弱です。

FV Flowplayer 動画プレーヤー SQLi の脆弱性

FV Flowplayer のこのかなり重大な SQLi 脆弱性により、認証されていない攻撃者が悪意のある JavaScript コードを挿入できます。

ここで脆弱な関数は `wp_ajax_nopriv_fv_wp_flowplayer_email_signup です ` ajax フック。 「email」 ' 上記のスクリプトでは、電子メール フィールドへのすべての入力が受け入れられ、データは機密性の高い電子メール データベースに送信されます。

WordPress の SQLi 脆弱性の場合、Web サイトが侵害されているかどうかを判断するには、次の兆候が役立ちます。リストは次のとおりです:

• 新しい管理者ユーザーが追加されました
• 管理者ユーザーのパスワードが機能していません
• ハッカーがデータベースのスクリーンショットをメールで送信
• Authorize.net トークンが流出
• ウェブサイトの改ざん

FV Flowplayer 動画プレーヤーの XSS 脆弱性

上記の悪意のあるコードは、管理者の Web ブラウザで実行されます。

前述のように、悪意のある入力はサニタイズされずに電子メール エクスポート画面に到達します。これにより、永続的なクロスサイト スクリプティング攻撃が発生する可能性があるため、壊滅的な結果になる可能性があります。

ユーザーが `email` POST パラメータで提供したものはすべて保存されます。

XSS の脆弱性は、悪用されると WordPress Web サイトに深刻な損害を与える可能性があるため、非常に深刻です。以下にリストされているのは、XSS の脆弱性から発生する可能性があるエクスプロイトのほんの一部です。または、これを侵害された兆候として扱うこともできます:

• 別のサイトへのリダイレクト
• 悪意のあるポップアップ
• WooCommerce クレジット カードのハッキング
• ウェブサイト上の悪意のある Google 広告
• ウェブサイトのユーザー名/パスワードが侵害された

FV Flowplayer 動画プレーヤー CSV エクスポートの脆弱性

FV プレーヤーで発見された別の脆弱性は、CSV エクスポートの脆弱性です。 .この脆弱性により、すべてのゲスト ユーザーがサブスクライバーのリストをダウンロードできますが、これは実際にはかなりのプライバシー侵害です。また、特に危険なことに、このデータは、WordPress Web サイトを悪用するさまざまな悪意のある方法で使用される可能性があります.

安全のためのソリューション

脆弱性を放置しておくと、残忍なサイバー攻撃が発生する可能性があります。そして、あなたはそれを私たちのウェブサイトに望んでいません.したがって、これらの非常に予測不可能な時期にできる最善の策は、プラグインを更新することです.さらに、

最新バージョンへの更新

FV Flowplayer Video Player は、パッチを適用したバージョンを最新バージョン 7.3.15.727 としてプッシュしました。プラグインをこのバージョンに更新すると、リスクが大幅に軽減されます。

Astra WordPress セキュリティ スイート

WordPress 向けに調整された Astra Web サイト セキュリティは、XSS、SQLi、CSV、悪意のあるボット、および 100 以上のその他のエクスプロイトから Web サイトを保護する Web アプリケーション ファイアウォールを提供します。ファイアウォールに加えて、Astra のマルウェア スキャナーは Web サイトを 10 分未満でスキャンし、その後のスキャンに 3 分未満かかることが知られています。

今すぐ Astra のデモを入手するか、チャットでお問い合わせください。喜んでお手伝いいたします。