WordPress. Orderland
O vulnerabilitate de tip cross-site scripting (XSS) a fost descoperită în trei plugin-uri WordPress: Gwolle Guestbook CMS plugin, Strong Testimonials plugin și Snazzy Maps plugin, în timpul unei verificări de securitate de rutină a sistemului cu DefenseCode ThunderScan. Cu peste 40.000 de instalații active ale pluginului Gwolle Guestbook, peste 50.000 de instalații active ale pluginului Strong Testimonials și peste 60.000 de astfel de instalații active ale pluginului Snazzy Maps, vulnerabilitatea de scriptare între site-uri pune utilizatorii în pericol să ofere acces administratorului la un atacator rău intenționat și, odată terminat, acordând atacatorului o pasă gratuită pentru a răspândi în continuare codul rău intenționat către spectatori și vizitatori. Această vulnerabilitate a fost investigată în baza ID-urilor consultative DefenseCode DC-2018-05-008 / DC-2018-05-007 / DC-2018-05-008 (respectiv) și a fost stabilit să reprezinte o amenințare medie pe toate cele trei fronturi. Există în limbaj PHP în pluginurile WordPress listate și s-a constatat că afectează toate versiunile pluginurilor până și inclusiv v2.5.3 pentru Gwolle Guestbook, v2.31.4 pentru Strong Testimonials și v1.1.3 pentru Snazzy Maps.
Vulnerabilitatea de scriptare între site-uri este exploatată atunci când un atacator rău intenționat elaborează cu atenție un cod JavaScript care conține URL și manipulează contul de administrator WordPress pentru a se conecta la adresa respectivă. O astfel de manipulare ar putea avea loc printr-un comentariu postat pe site, pe care administratorul îl face tentat să facă clic pe sau printr-un e-mail, postare sau o discuție pe forum care este accesată. Odată ce cererea este făcută, codul rău intenționat ascuns este rulat și hackerul reușește să obțină acces complet la site-ul WordPress al utilizatorului respectiv. Cu accesul deschis al site-ului, hackerul poate încorpora mai multe astfel de coduri rău intenționate în site pentru a răspândi malware și vizitatorilor site-ului.
Vulnerabilitatea a fost descoperită inițial de DefenseCode la prima iunie, iar WordPress a fost informat 4 zile mai târziu. Furnizorul a primit perioada standard de lansare de 90 de zile pentru a prezenta o soluție. După investigație, s-a constatat că vulnerabilitatea exista în funcția echo () și în special în variabila $ _SERVER ['PHP_SELF'] pentru pluginul Gwolle Guestbook, variabila $ _REQUEST ['id'] în pluginul Testimoniale puternice și variabila $ _GET ['text'] din pluginul Snazzy Maps. Pentru a atenua riscul acestei vulnerabilități, actualizările pentru toate cele trei pluginuri au fost lansate de WordPress, iar utilizatorii sunt rugați să își actualizeze pluginurile la cele mai recente versiuni disponibile.
