WordPress. Orderland
Uma vulnerabilidade de cross-site scripting (XSS) foi descoberta em três plug-ins do WordPress: plug-in Gwolle Guestbook CMS, plug-in Strong Testimonials e plug-in Snazzy Maps, durante uma verificação de rotina de segurança do sistema com o DefenseCode ThunderScan. Com mais de 40.000 instalações ativas do plugin Gwolle Guestbook, mais de 50.000 instalações ativas do plugin Strong Testimonials e mais de 60.000 instalações ativas do plugin Snazzy Maps, a vulnerabilidade de cross-site scripting coloca os usuários em risco de conceder acesso de administrador a um atacante malicioso e, uma vez feito isso, dar ao atacante um passe livre para espalhar ainda mais o código malicioso para visualizadores e visitantes. Esta vulnerabilidade foi investigada com os IDs consultivos DefenseCode DC-2018-05-008 / DC-2018-05-007 / DC-2018-05-008 (respectivamente) e foi determinada a representar uma ameaça média em todas as três frentes. Ele existe na linguagem PHP nos plug-ins WordPress listados e foi descoberto que afeta todas as versões dos plug-ins até e incluindo v2.5.3 para Gwolle Guestbook, v2.31.4 para Strong Testimonials e v1.1.3 para Snazzy Maps.
A vulnerabilidade de script entre sites é explorada quando um invasor mal-intencionado cria cuidadosamente um código JavaScript contendo URL e manipula a conta de administrador do WordPress para se conectar a esse endereço. Essa manipulação pode ocorrer por meio de um comentário postado no site que o administrador é tentado a clicar ou por meio de um e-mail, postagem ou discussão de fórum que é acessada. Uma vez que a solicitação é feita, o código malicioso oculto é executado e o hacker consegue obter acesso completo ao site WordPress daquele usuário. Com o acesso de extremidade aberta do site, o hacker pode incorporar mais códigos maliciosos ao site para espalhar malware para os visitantes do site.
A vulnerabilidade foi descoberta inicialmente pelo DefenseCode no dia primeiro de junho e o WordPress foi informado 4 dias depois. O fornecedor recebeu o período de lançamento padrão de 90 dias para apresentar uma solução. Após investigação, foi descoberto que a vulnerabilidade existia na função echo (), e particularmente na variável $ _SERVER ['PHP_SELF'] para o plugin Gwolle Guestbook, a variável $ _REQUEST ['id'] no plugin Strong Testimonials, e a variável $ _GET ['text'] no plugin Snazzy Maps. Para atenuar o risco desta vulnerabilidade, as atualizações para todos os três plug-ins foram lançadas pelo WordPress e os usuários são solicitados a atualizar seus plug-ins para as versões mais recentes disponíveis, respectivamente.
