研究咨询警告称,流行的 WordPress Beaver Builder 插件中发现一个 XSS 漏洞,可导致脚本注入
流行的 Beaver Builder WordPress Page Builder 被发现包含一个 XSS 漏洞,该漏洞允许攻击者向网站注入脚本,并在用户访问网页时运行。
Beaver Builder
Beaver Builder 是一款流行的插件,它允许任何人使用易于使用的拖放界面创建专业的网站。用户可以从预先设计的模板开始,也可以从头开始创建网站。
存储型跨站点脚本 (XSS) 漏洞
Wordfence 的安全研究人员发布了一份关于影响页面构建器插件的 XSS 漏洞的公告。XSS 漏洞通常出现在允许用户输入的主题或插件部分。当对可输入内容的过滤不足(称为输入清理的过程)时,就会出现此漏洞。导致 XSS 的另一个漏洞是输出转义不足,这是插件输出的安全措施,可防止有害脚本传递到网站浏览器。
这种特定漏洞称为存储型 XSS。存储型意味着攻击者能够直接将脚本注入 Web 服务器。这与反射型 XSS 不同,后者要求受害者单击受攻击网站的链接才能执行恶意脚本。存储型 XSS(会影响 Beaver Builder)通常被认为比反射型 XSS 更危险。
Beaver Builder 中导致 XSS 漏洞的安全漏洞是由于输入清理和输出转义不足造成的。
