-
Veszélyes sebezhetőség a WooCommerce ügyfélértékelő bővítményében
A WooCommerce vásárlói vélemények pluginja egy komoly biztonsági rést mutatott, amely több mint 80,000 weboldalt érint. A Wordfence által kiadott figyelmeztetés arról tájékoztat, hogy a plugin sebezhetősége miatt jogosulatlan támadók képesek tárolt cross-site scripting (XSS) támadást indítani. Ez a hiba lehetővé teszi, hogy az elkövetők szkripteket injektáljanak a weboldalakba, amelyek végrehajtódnak, amikor a felhasználók meglátogatják az érintett oldalakat. A WooCommerce Plugin Szerepe és A Sebezhetőség Hatása A WooCommerce vásárlói vélemények pluginja különböző funkciókkal segíti a felhasználókat, például emlékeztető e-maileket küld a vásárlóknak, hogy véleményt írjanak egy termékről, és ezáltal fokozzák a márkával való interakciót. Azonban a Wordfence által felfedezett hiba miatt a plugin minden olyan verziója, amely az 5.80.2-es verzióig…
-
Kritikus sebezhetőség a Wix Vibe kódolási platformján
A Wix Vibe kódolási platformján egy komoly biztonsági rést fedeztek fel, amely lehetővé tette a támadók számára, hogy megkerüljék a hitelesítést és hozzáférjenek a privát vállalati alkalmazásokhoz. Ezt a felfedezést a Wiz nevű felhőbiztonsági cég tette, amely az alábbi eljárással tárt fel egy érzékeny azonosítószámot, az úgynevezett app_id-t. A probléma lényege, hogy ez az azonosítószám nyilvános elérhetőséggel rendelkezett, így a támadók könnyen hozzáférhettek különböző alkalmazásokhoz. A hibás azonosítószámok nyilvános megjelenése A Wix platformján az app_id számok a nyilvános URL-ekben és a manifest.json fájlokban is láthatóak voltak. Ez a nyilvános láthatóság lehetővé tette, hogy a támadók egyszerű lépésekkel, például a Swagger-UI nyílt forráskódú eszköz segítségével új fiókokat regisztráljanak, még akkor is,…
