WordPress. Ortlande
Trīs vietņu skriptu (XSS) ievainojamība tika atklāta trīs WordPress spraudņos: Gwolle Guestbook CMS spraudnis, Strong Testimonials spraudnis un Snazzy Maps spraudnis, veicot sistēmas drošības pārbaudi ar DefenseCode ThunderScan. Izmantojot vairāk nekā 40 000 aktīvo Gwolle Guestbook spraudņa instalāciju, vairāk nekā 50 000 aktīvo Spraudņa Strong Testimonials instalāciju un vairāk nekā 60 000 aktīvo šādu Snazzy Maps spraudņa instalāciju, vairāku vietņu skriptu ievainojamība rada riskus lietotājiem atdot administratoram piekļuvi ļaunprātīgs uzbrucējs, un, kad tas ir izdarīts, dodot uzbrucējam bezmaksas caurlaidi, lai tālāk izplatītu ļaunprātīgo kodu skatītājiem un apmeklētājiem. Šī ievainojamība ir izmeklēta, izmantojot DefenseCode padomdevēju ID DC-2018-05-008 / DC-2018-05-007 / DC-2018-05-008 (attiecīgi) un ir apņēmības pilns radīt vidējus draudus visās trijās frontēs. Tas pastāv PHP valodā uzskaitītajos WordPress spraudņos, un ir konstatēts, ka tas ietekmē visas spraudņu versijas līdz pat Gwolle Guestbook v2.5.3, Strong Testimonials v2.31.4 un Snazzy Maps v1.1.3.
Vairāku vietņu skriptu ievainojamība tiek izmantota, ja ļaunprātīgs uzbrucējs rūpīgi izstrādā JavaScript kodu, kas satur URL, un manipulē ar WordPress administratora kontu, lai izveidotu savienojumu ar minēto adresi. Šāda manipulācija var notikt, izmantojot komentāru, kas ievietots vietnē, uz kura administratoram rodas kārdinājums noklikšķināt uz e-pasta, pasta vai foruma diskusijas, kurai piekļūst. Kad pieprasījums ir iesniegts, tiek palaists slēptais ļaunprātīgais kods un hakerim izdodas iegūt pilnīgu piekļuvi šī lietotāja WordPress vietnei. Izmantojot atvērtu piekļuvi vietnei, hakeris vietnē var ievietot vairāk šādu ļaunprātīgu kodu, lai izplatītu ļaunprātīgu programmatūru arī vietnes apmeklētājiem.
Sākotnēji ievainojamību DefenseCode atklāja pirmajā jūnijā, un WordPress tika informēts 4 dienas vēlāk. Pārdevējam tika dots standarta 90 dienu izlaišanas periods, lai piedāvātu risinājumu. Izmeklēšanas laikā tika konstatēts, ka ievainojamība pastāvēja funkcijā echo (), it īpaši mainīgajā $ _SERVER ['PHP_SELF'] Gwolle viesu grāmatas spraudnī, mainīgajā $ _REQUEST ['id'] spraudnī Spēcīgās atsauksmes un spraudnī Snazzy Maps mainīgais $ _GET ['text']. Lai mazinātu šīs ievainojamības risku, WordPress ir izlaidis visu trīs spraudņu atjauninājumus, un lietotājiem tiek lūgts atjaunināt savus spraudņus attiecīgi uz jaunākajām pieejamajām versijām.
