WordPress. Orderland
DefenceCode ThunderScan ile sistemin rutin güvenlik kontrolü sırasında, üç WordPress eklentisinde siteler arası komut dosyası çalıştırma (XSS) güvenlik açığı keşfedildi: Gwolle Guestbook CMS eklentisi, Strong Testimonials eklentisi ve Snazzy Maps eklentisi. Gwolle Ziyaretçi Defteri eklentisinin 40.000'den fazla etkin yüklemesi, Strong Testimonials eklentisinin 50.000'den fazla etkin yüklemesi ve Snazzy Maps eklentisinin bu tür 60.000'den fazla etkin yüklemesiyle, siteler arası komut dosyası çalıştırma güvenlik açığı, kullanıcıları bir kötü niyetli saldırgan ve bir kez yapıldığında, saldırgana kötü amaçlı kodu izleyicilere ve ziyaretçilere daha da yayması için ücretsiz bir geçiş sağlar. Bu güvenlik açığı, Savunma Kodu danışma kimlikleri altında araştırılmıştır DC-2018-05-008 / DC-2018-05-007 / DC-2018-05-008 (sırasıyla) ve üç cephede de orta düzeyde bir tehdit oluşturduğu belirlenmiştir. Listelenen WordPress eklentilerinde PHP dilinde mevcuttur ve Gwolle Ziyaretçi Defteri için v2.5.3, Güçlü Referanslar için v2.31.4 ve Snazzy Haritalar için v1.1.3'e kadarki tüm eklentileri etkilediği görülmüştür.
Siteler arası komut dosyası çalıştırma güvenlik açığı, kötü niyetli bir saldırgan dikkatli bir şekilde URL içeren bir JavaScript kodu oluşturduğunda ve WordPress yönetici hesabını söz konusu adrese bağlanması için manipüle ettiğinde kötüye kullanılır. Bu tür bir manipülasyon, sitede yayınlanan bir yorum yoluyla, yöneticinin tıklamaya veya erişilen bir e-posta, gönderi veya forum tartışması yoluyla cazip hale getirilmesi yoluyla gerçekleşebilir. İstek yapıldıktan sonra, kötü amaçlı kod gizlenir ve bilgisayar korsanı bu kullanıcının WordPress sitesine tam erişim sağlamayı başarır. Bilgisayar korsanı, sitenin açık uçlu erişimiyle, kötü amaçlı yazılımları sitenin ziyaretçilerine de yaymak için siteye bu tür daha fazla kötü amaçlı kod yerleştirebilir.
Güvenlik açığı ilk olarak 1 Haziran'da DefenceCode tarafından keşfedildi ve WordPress 4 gün sonra bilgilendirildi. Satıcıya bir çözüm sunması için standart 90 günlük yayın süresi verildi. İnceleme üzerine, güvenlik açığının echo () işlevinde ve özellikle Gwolle Ziyaretçi Defteri eklentisi için $ _SERVER ['PHP_SELF'] değişkeninde, Strong Testimonials eklentisindeki $ _REQUEST ['id'] değişkeninde ve Snazzy Maps eklentisindeki $ _GET ['text'] değişkeni. Bu güvenlik açığının riskini azaltmak için, üç eklentinin tümü için güncellemeler WordPress tarafından yayınlandı ve kullanıcılardan, sırasıyla eklentilerini mevcut en son sürümlere güncellemeleri isteniyor.
