Plugin de otimização Autoptimize lança atualização recentemente para corrigir uma vulnerabilidade de XSS armazenado. Os usuários que usam o plug-in são aconselhados a atualizar imediatamente para reduzir a possibilidade de exposição a um evento de hacking.
Vulnerabilidade de XSS armazenado
Uma vulnerabilidade de Stored Cross-Site Scripting (XSS) ocorre quando o software tem uma falha que permite que um hacker carregue um arquivo malicioso que pode então atacar outra pessoa que visite o site.
Existem diferentes tipos de vulnerabilidades de XSS armazenadas e não está claro de que tipo é.
No entanto, dependendo de onde o arquivo malicioso é carregado, esse tipo de vulnerabilidade pode ser especialmente problemático quando alguém com privilégios de nível de administrador visita o site e recebe a carga útil, o que pode levar ao controle total do site.
De acordo com o Instituto Nacional de Padrões e Tecnologia do governo dos Estados Unidos:
“Uma vulnerabilidade que permite que os invasores injetem código malicioso em um site.
Esses scripts adquirem as permissões de scripts gerados pelo site de destino e podem, portanto, comprometer a confidencialidade e integridade das transferências de dados entre o site e o cliente.
Os sites são vulneráveis se exibirem dados fornecidos pelo usuário a partir de solicitações ou formulários sem higienizar os dados para que não sejam executáveis. “
Isso é chamado de vulnerabilidade XSS “armazenada” porque o arquivo malicioso é armazenado no próprio site.
Classificação de vulnerabilidade
As vulnerabilidades são classificadas usando um padrão de código aberto chamado Common Vulnerability Scoring System (CVSS). Uma pontuação de vulnerabilidade é comumente referida usando o CVSS versão 3.1.
É assim que o padrão de vulnerabilidade é descrito:
“O Common Vulnerability Scoring System (CVSS) é uma estrutura aberta para comunicar as características e gravidade das vulnerabilidades de software. “
A vulnerabilidade que afeta a Autoptimize é chamada de vulnerabilidade de XSS armazenado autenticado, o que significa que um hacker deve estar logado no site para tirar vantagem da falha.
Essa pode ser uma razão que contribui para a classificação do nível de gravidade da vulnerabilidade do Autoptimize WordPress Plugin como médio, com uma pontuação de 5,4 em uma escala de 1 a 10.
Registro oficial Autoptimize
De acordo com o registro oficial da Autoptimize, a versão mais recente é 2.8.4, que corrige a vulnerabilidade.
“2.8.4
correção para uma vulnerabilidade XSS autenticada”
Embora seja uma vulnerabilidade classificada como média, ainda é recomendável que todos os editores que usam este plug-in o atualizem imediatamente para permanecer seguro.
