آسیب پذیری پلاگین گوگل آنالیتیکس وردپرس به بیش از 3 میلیون وب سایت رسیده است

آسیب پذیری XSS افزونه وردپرس MonsterInsights پلاگین گوگل آنالیتیکس بیش از 3 میلیون وب سایت را تحت تاثیر قرار داد. پایگاه داده ملی آسیب‌پذیری اعلام کرد که یک افزونه محبوب پلاگین گوگل آنالیتیکس وردپرس که در بیش از 3 میلیون نصب شده بود، کشف شد که حاوی آسیب‌پذیری ذخیره‌شده XSS است.

XSS ذخیره شده در پلاگین گوگل آنالیتیکس

حمله XSS معمولاً زمانی اتفاق می‌افتد که بخشی از وب‌سایت که ورودی کاربر را می‌پذیرد، ناامن است و اجازه ورودی‌های پیش‌بینی نشده مانند اسکریپت‌ها یا پیوندها را می‌دهد. آسیب‌پذیری XSS می‌تواند برای دسترسی غیرمجاز به یک وب‌سایت مورد استفاده قرار گیرد و می‌تواند منجر به سرقت اطلاعات کاربر یا تصرف کامل سایت شود.

پروژه Open Worldwide Application Security Project نحوه عملکرد آسیب پذیری XSS را شرح می دهد:

یک مهاجم می‌تواند از XSS برای ارسال یک اسکریپت مخرب به یک کاربر نامطمئن استفاده کند. مرورگر کاربر نهایی راهی ندارد که بداند اسکریپت نباید قابل اعتماد باشد و اسکریپت را اجرا می کند.

از آنجایی که فکر می‌کند اسکریپت از یک منبع مطمئن آمده است، اسکریپت مخرب می‌تواند به کوکی‌ها، نشانه‌های جلسه یا سایر اطلاعات حساسی که توسط مرورگر حفظ شده و با آن سایت استفاده می‌شود، دسترسی داشته باشد.

یک XSS ذخیره شده، اسکریپت مخربی است که در آن اسکریپت مخرب در خود سرورهای وب سایت ذخیره می شود. پلاگین گوگل آنالیتیکس MonsterInsights برای وردپرس، دارای نسخه ذخیره شده XSS این آسیب‌پذیری است.

Patchstack توصیه می کند که همه کاربران پلاگین MonsterInsights Analytics افزونه وردپرس خود را فوراً به آخرین نسخه یا حداقل نسخه 8.14.1 به روز کنند.