WordPress. Orderland
Chyba zabezpečení skriptování mezi weby (XSS) byla objevena ve třech zásuvných modulech WordPress: zásuvný modul GMS Gwolle Guestbook CMS, zásuvný modul Strong Testimonials a zásuvný modul Snazzy Maps během rutinní bezpečnostní kontroly systému pomocí DefenseCode ThunderScan. Díky více než 40 000 aktivních instalací pluginu Gwolle Guestbook, více než 50 000 aktivních instalací pluginu Strong Testimonials a více než 60 000 aktivních takových instalací pluginu Snazzy Maps ohrožuje zranitelnost skriptování napříč weby nebezpečí, že správce získá přístup k škodlivý útočník, a jakmile bude hotový, dá útočníkovi bezplatný průkaz k dalšímu šíření škodlivého kódu mezi diváky a návštěvníky. Tato chyba zabezpečení byla prošetřena pod poradním ID DefenseCode DC-2018-05-008 / DC-2018-05-007 / DC-2018-05-008 (respektive) a bylo rozhodnuto představovat střední hrozbu na všech třech frontách. Existuje v jazyce PHP v uvedených pluginech WordPress a bylo zjištěno, že ovlivňuje všechny verze pluginů až do verze v2.5.3 pro Gwolle Guestbook, v2.31.4 pro Strong Testimonials a v1.1.3 pro Snazzy Maps.
Zranitelnost skriptování mezi weby je zneužita, když útočník se zlými úmysly pečlivě vytvoří kód JavaScript obsahující adresu URL a manipuluje účet správce WordPress s připojením k uvedené adrese. K takové manipulaci může dojít prostřednictvím komentáře zveřejněného na webu, který je v pokušení správce kliknout na, nebo prostřednictvím e-mailu, příspěvku nebo diskuze na fóru, ke které je přistupováno. Po zadání požadavku se spustí skrytý škodlivý kód a hackerovi se podaří získat úplný přístup na web WordPress daného uživatele. S otevřeným přístupem na web může hacker vložit do webu více takových škodlivých kódů a šířit malware také mezi návštěvníky webu.
Tuto chybu zabezpečení obrana původně objevila prvního června a WordPress byl informován o 4 dny později. Prodejci byla dána standardní 90denní lhůta pro vydání, aby přišel s řešením. Při vyšetřování bylo zjištěno, že chyba zabezpečení existovala ve funkci echo (), zejména v proměnné $ _SERVER ['PHP_SELF'] pro plugin Gwolle Guestbook, proměnné $ _REQUEST ['id'] v pluginu Strong Testimonials a proměnná $ _GET ['text'] v pluginu Snazzy Maps. Aby se zmírnilo riziko této chyby zabezpečení, byly WordPressem vydány aktualizace všech tří pluginů a uživatelé jsou povinni aktualizovat své pluginy na nejnovější dostupné verze.
