Dana 2. siječnja 2024. godine, objavljena je ranjivost WordPress dodatka (engl. plugin) "OMGF | GDPR/DSGVO Compliant, Faster Google Fonts. Easy." na neautentificirani Stored Cross-Site Scripting (XSS) napad i brisanje direktorija.

Ranjivost identificirana kao CVE-2023-6600 (CVSS ocjena 8.6), može utjecati na web stranice na kojima je instaliran i konfiguriran dodatak „OMGF“, te omogućuje neautentificiranom napadaču ažuriranje postavki dodatka i umetanje zlonamjernih skripti na web stranice zahvaćene ranjivošću, a za koje se procjenjuje da ih ima preko 300 000. 
 

Tehnički detalji ključne ranjivosti otklonjene ovim ažuriranjem:

Ranjivost dodatka „OMGF“ proizlazi zbog nedostatka provjere ovlasti u funkciji update_settings(), koja je povezana putem admin_init akcije čime se omogućava neautentificiranim napadačima izmjena postavki dodatka, te se dovodi do Stored XSS-a i brisanja direktorija.

Zahvaćeni proizvodi:

Dodatak "OMGF | GDPR/DSGVO Compliant, Faster Google Fonts. Easy." verzija 5.7.9 i starije.

Preporuke: 

Kako bi se ublažile štetne posljedice povezane s navedenom ranjivosti, korisnicima se preporuča nadogradnja ranjivog dodataka na zadnju dostupnu verziju koja sadrži potrebne ispravke.

Također se preporučuje praćenje WordPress sigurnosnih obavijesti radi otkrivanja znakova neovlaštenih promjena, poput umetnutih skripti ili brisanja direktorija.

Više informacija moguće je pročitati na poveznicama u nastavku:

[inicijalna objava: 10.1.2024 - 13:48]