WordPress. Орден
Уязвимост на скриптове на различни сайтове (XSS) бе открита в три плъгина на WordPress: Gwolle CMS плъгин за гости, плъгин Strong Testimonials и приставка Snazzy Maps по време на рутинна проверка на сигурността на системата с DefenseCode ThunderScan. С над 40 000 активни инсталации на приставката Gwolle Guestbook, над 50 000 активни инсталации на приставката Strong Testimonials и над 60 000 активни такива инсталации на приставката Snazzy Maps, уязвимостта на скриптове на различни сайтове излага потребителите на риск да предоставят достъп на администратор до злонамерен нападател и след като го направи, давайки на нападателя безплатен пропуск за по-нататъшно разпространение на зловредния код сред зрителите и посетителите. Тази уязвимост е проучена под консултативните идентификатори на DefenseCode DC-2018-05-008 / DC-2018-05-007 / DC-2018-05-008 (съответно) и е решено да представлява средна заплаха и на трите фронта. Съществува на PHP език в изброените плъгини за WordPress и е установено, че засяга всички версии на приставките, включително до v2.5.3 за Gwolle Guestbook, v2.31.4 за Strong Testimonials и v1.1.3 за Snazzy Maps.
Уязвимостта на скриптове между сайтове се използва, когато злонамерен нападател внимателно изработи JavaScript код, съдържащ URL адрес, и манипулира акаунта на администратора на WordPress, за да се свърже с посочения адрес. Подобна манипулация може да възникне чрез коментар, публикуван на сайта, че администраторът се изкушава да кликне върху или чрез имейл, публикация или дискусия във форума, до която има достъп. След като заявката бъде направена, скритият злонамерен код се изпълнява и хакерът успява да получи пълен достъп до сайта на WordPress на този потребител. С отворен краен достъп до сайта, хакерът може да вгради още такива злонамерени кодове в сайта, за да разпространява злонамерен софтуер и сред посетителите на сайта.
Уязвимостта първоначално беше открита от DefenseCode на първи юни и WordPress беше информиран 4 дни по-късно. Доставчикът получи стандартния 90-дневен период на издаване, за да излезе с решение. След разследване беше установено, че уязвимостта съществува във функцията echo (), и по-специално променливата $ _SERVER ['PHP_SELF'] за приставката Gwolle Guestbook, променливата $ _REQUEST ['id'] в приставката Strong Testimonials и променливата $ _GET ['text'] в приставката Snazzy Maps. За да се намали рискът от тази уязвимост, WordPress пусна актуализации за трите приставки и потребителите трябва да актуализират своите приставки съответно до най-новите налични версии.
