WordPress. Orderland
Een cross-site scripting (XSS) kwetsbaarheid werd ontdekt in drie WordPress-plug-ins: Gwolle Guestbook CMS-plug-in, Strong Testimonials-plug-in en de Snazzy Maps-plug-in, tijdens een routinematige beveiligingscheck van het systeem met de DefenseCode ThunderScan. Met meer dan 40.000 actieve installaties van de Gwolle Guestbook-plug-in, meer dan 50.000 actieve installaties van de Strong Testimonials-plug-in en meer dan 60.000 actieve installaties van de Snazzy Maps-plug-in, stelt de cross-site scripting-kwetsbaarheid gebruikers het risico om beheerders toegang te geven tot een kwaadwillende aanvaller, en eenmaal gedaan, de aanvaller een gratis pas geven om de kwaadaardige code verder te verspreiden onder kijkers en bezoekers. Dit beveiligingslek is onderzocht onder de advies-ID's van DefenseCode DC-2018-05-008 / DC-2018-05-007 / DC-2018-05-008 (respectievelijk) en is vastbesloten om op alle drie de fronten een middelgrote bedreiging te vormen. Het bestaat in PHP-taal in de vermelde WordPress-plug-ins en het is gebleken dat het alle versies van de plug-ins beïnvloedt tot en met v2.5.3 voor Gwolle Guestbook, v2.31.4 voor Strong Testimonials en v1.1.3 voor Snazzy Maps.
De kwetsbaarheid voor cross-site scripting wordt misbruikt wanneer een kwaadwillende aanvaller zorgvuldig een JavaScript-code met URL bedenkt en het WordPress-beheerdersaccount manipuleert om verbinding te maken met dat adres. Een dergelijke manipulatie kan plaatsvinden via een opmerking die op de site wordt gepost en de beheerder in de verleiding brengt erop te klikken, of via een e-mail, post of een forumdiscussie waartoe toegang wordt verkregen. Zodra het verzoek is gedaan, wordt de verborgen kwaadaardige code uitgevoerd en slaagt de hacker erin volledige toegang te krijgen tot de WordPress-site van die gebruiker. Met open-end-toegang tot de site kan de hacker meer van dergelijke kwaadaardige codes in de site insluiten om ook malware naar de bezoekers van de site te verspreiden.
De kwetsbaarheid werd in eerste instantie ontdekt door DefenseCode op 1 juni en WordPress werd 4 dagen later geïnformeerd. De leverancier kreeg de standaard releaseperiode van 90 dagen om met een oplossing te komen. Bij onderzoek bleek dat de kwetsbaarheid bestond in de echo () functie, en in het bijzonder de $ _SERVER ['PHP_SELF'] variabele voor de Gwolle Guestbook plugin, de $ _REQUEST ['id'] variabele in de Strong Testimonials plugin, en de $ _GET ['text'] variabele in de Snazzy Maps plugin. Om het risico van dit beveiligingslek te verkleinen, zijn updates voor alle drie de plug-ins uitgebracht door WordPress en worden gebruikers gevraagd hun plug-ins bij te werken naar respectievelijk de nieuwste beschikbare versies.
