WordPress. Orderland
Es va descobrir una vulnerabilitat de cross-site scripting (XSS) en tres connectors de WordPress: Gwolle Guestbook CMS plugin, Strong Testimonials plugin i Snazzy Maps, durant una revisió rutinària de seguretat del sistema amb el DefenceCode ThunderScan. Amb més de 40.000 instal·lacions actives del connector Gwolle Guestbook, més de 50.000 instal·lacions actives del connector Strong Testimonials i més de 60.000 instal·lacions actives d’aquest tipus del connector Snazzy Maps, la vulnerabilitat de les seqüències d’ordres entre llocs posa en risc els usuaris de donar accés a l’administrador un atacant malintencionat i, un cop acabat, dóna a l’atacant una passada gratuïta per difondre encara més el codi maliciós als espectadors i als visitants. Aquesta vulnerabilitat s'ha investigat sota els identificadors d'assessorament de DefenseCode DC-2018-05-008 / DC-2018-05-007 / DC-2018-05-008 (respectivament) i s'ha determinat que representa una amenaça mitjana als tres fronts. Existeix en llenguatge PHP als connectors de WordPress llistats i s’ha comprovat que afecta totes les versions dels connectors fins a la versió 2.5.3 inclosa per a Gwolle Guestbook, v2.31.4 per a testimonis forts i v1.1.3 per a Snazzy Maps.
La vulnerabilitat de seqüències d’ordres entre llocs s’utilitza quan un atacant maliciós elabora amb cura un codi JavaScript que conté URL i manipula el compte d’administrador de WordPress per connectar-se a aquesta adreça. Aquesta manipulació es pot produir a través d'un comentari publicat al lloc que fa que l'administrador tingui la temptació de fer clic a través d'un correu electrònic, una publicació o un fòrum de discussió al qual s'accedeixi. Un cop feta la sol·licitud, s'executa el codi maliciós ocult i el pirata informàtic aconsegueix l'accés complet al lloc de WordPress d'aquest usuari. Amb l'accés al lloc lliure, el pirata informàtic pot incrustar més codis maliciosos al lloc per difondre programari maliciós també als visitants del lloc.
DefenseCode va descobrir inicialment la vulnerabilitat el primer de juny i es va informar de WordPress 4 dies després. El proveïdor va rebre el període de llançament estàndard de 90 dies per presentar una solució. Després de la investigació, es va trobar que la vulnerabilitat existia a la funció echo (), i en particular a la variable $ _SERVER ['PHP_SELF'] per al connector Gwolle Guestbook, la variable $ _REQUEST ['id'] al connector Testimonis forts i la variable $ _GET ['text'] al connector Snazzy Maps. Per mitigar el risc d'aquesta vulnerabilitat, WordPress ha publicat actualitzacions dels tres connectors i es demana als usuaris que actualitzin els seus connectors a les darreres versions disponibles, respectivament.
