WordPress. Orderland
En sårbarhet över XSS-skript (cross-site scripting) upptäcktes i tre WordPress-plugins: Gwolle Guestbook CMS-plugin, Plugin Strong Testimonials och Snazzy Maps-plugin-programmet under en rutinmässig säkerhetskontroll av systemet med DefenseCode ThunderScan. Med över 40 000 aktiva installationer av plugin-programmet Gwolle Guestbook, över 50 000 aktiva installationer av plugin-programmet Strong Testimonials och över 60 000 aktiva sådana installationer av plugin-programmet Snazzy Maps, innebär sårbarheten för skriptöverskridande webbplatser användare att riskera att ge bort administratörstillgång till en skadlig angripare, och en gång gjort, ger angriparen ett frikort för att ytterligare sprida den skadliga koden till tittare och besökare. Denna sårbarhet har undersökts med hjälp av DefenseCode-rådgivnings-ID: n DC-2018-05-008 / DC-2018-05-007 / DC-2018-05-008 (respektive) och har bestämts att utgöra ett mediumhot på alla tre fronter. Det finns på PHP-språk i de listade WordPress-pluginsna och det har visat sig att det påverkar alla versioner av plugins till och med v2.5.3 för Gwolle Guestbook, v2.31.4 för Strong Testimonials och v1.1.3 för Snazzy Maps.
Sårbarheten för skriptöverföring på flera platser utnyttjas när en skadlig angripare försiktigt skapar en JavaScript-kod som innehåller URL och manipulerar WordPress-administratörskontot för att ansluta till nämnda adress. En sådan manipulation kan ske genom en kommentar som publiceras på webbplatsen som administratören görs frestad att klicka på eller via ett e-postmeddelande, inlägg eller en forumdiskussion som nås. När begäran har gjorts körs den skadliga koden som döljs och hackaren lyckas få fullständig åtkomst till WordPress-webbplatsen för den användaren. Med öppen åtkomst till webbplatsen kan hackaren bädda in fler sådana skadliga koder på webbplatsen för att sprida skadlig kod även till besökarna på webbplatsen.
Sårbarheten upptäcktes ursprungligen av DefenseCode den första juni och WordPress informerades 4 dagar senare. Säljaren fick den vanliga 90-dagars release-perioden för att komma fram med en lösning. Vid undersökning konstaterades att sårbarheten fanns i echo () -funktionen, och särskilt variabeln $ _SERVER ['PHP_SELF'] för plugin-programmet Gwolle Guestbook, variabeln $ _REQUEST ['id'] i plugin-programmet Strong Testimonials och variabeln $ _GET ['text'] i plugin-programmet Snazzy Maps. För att mildra risken för denna sårbarhet har uppdateringar för alla tre plugins släppts av WordPress och användare uppmanas att uppdatera sina plugins till de senaste tillgängliga versionerna.
