WordPress. Orderland
A helyek közötti parancsfájlok (XSS) biztonsági rését három WordPress beépülő modulban fedezték fel: a Gwolle Guestbook CMS, az Strong Testimonials és a Snazzy Maps beépülő modulban, a rendszer rutinszerű biztonsági ellenőrzése során a DefenceCode ThunderScan segítségével. A Gwolle Guestbook plugin több mint 40 000 aktív telepítésével, az Strong Testimonials plugin több mint 50 000 aktív telepítésével és a Snazzy Maps plugin több mint 60 000 ilyen telepítésével a webhelyek közötti parancsfájlok sérülékenysége kockáztatja a felhasználókat, hogy rendszergazdai hozzáférést adjanak egy rosszindulatú támadó, és ha ez megtörtént, szabad támadást adott a támadónak, hogy tovább terjessze a rosszindulatú kódot a nézők és a látogatók számára. Ezt a biztonsági rést a DefenseCode tanácsadói azonosítói alapján vizsgálták DC-2018-05-008 / DC-2018-05-007 / DC-2018-05-008 (illetve), és elhatározták, hogy közepes veszélyt jelent mindhárom fronton. PHP nyelven létezik a felsorolt WordPress beépülő modulokban, és kiderült, hogy a pluginok összes verzióját érinti, egészen a Gwolle Guestbook v2.5.3-ig, az Strong Testimonials v2.31.4-ig és a Snazzy Maps v1.1.3-ig.
A webhelyek közötti parancsfájlok sebezhetőségét akkor használják ki, amikor egy rosszindulatú támadó gondosan elkészíti az URL-t tartalmazó JavaScript-kódot, és a WordPress rendszergazdai fiókkal manipulálja a kapcsolatot az említett címmel. Ilyen manipuláció történhet a webhelyen közzétett megjegyzéssel, amelyre az adminisztrátor késztetést kap, hogy rákattintson, vagy e-mailen, poszton vagy fórumon keresztül érje el a hozzáférést. A kérelem benyújtását követően a rejtett rosszindulatú kód futtatásra kerül, és a hackernek sikerül teljes hozzáférést szereznie az adott felhasználó WordPress-webhelyéhez. A webhely nyílt végű hozzáférésével a hacker több ilyen rosszindulatú kódot ágyazhat be a webhelybe, hogy kártékony programokat terjesszen a webhely látogatói számára is.
A sérülékenységet eredetileg a DefenseCode fedezte fel június elsején, és a WordPress-t 4 nappal később tájékoztatták. Az eladó a szokásos 90 napos kiadási időszakot kapta, hogy megoldást kínáljon. A vizsgálat után kiderült, hogy a biztonsági rés fennállt az echo () függvényben, különösen a $ _SERVER ['PHP_SELF'] változóban a Gwolle Vendégkönyv plugin esetében, a $ _REQUEST ['id'] változóban az Erős ajánlások beépülő modulban és a $ _GET ['text'] változó a Snazzy Maps pluginban. A biztonsági rés kockázatának csökkentése érdekében a WordPress kiadta mindhárom bővítmény frissítését, és a felhasználókat arra kérik, hogy frissítsék a beépülő moduljaikat a legfrissebb elérhető verziókra.
