WordPress. Orderland
Bei einer routinemäßigen Sicherheitsüberprüfung des Systems mit dem DefenseCode ThunderScan wurde in drei WordPress-Plugins eine XSS-Sicherheitsanfälligkeit (Cross-Site Scripting) entdeckt: das CMS-Plugin Gwolle Guestbook, das Plugin Strong Testimonials und das Plugin Snazzy Maps. Mit über 40.000 aktiven Installationen des Gwolle Guestbook-Plugins, über 50.000 aktiven Installationen des Strong Testimonials-Plugins und über 60.000 aktiven Installationen des Snazzy Maps-Plugins besteht für Benutzer aufgrund der Sicherheitsanfälligkeit durch Cross-Site-Scripting das Risiko, Administratorzugriff auf a zu gewähren böswilliger Angreifer, und sobald dies erledigt ist, erhalten die Angreifer einen kostenlosen Pass, um den bösartigen Code weiter an Zuschauer und Besucher zu verbreiten. Diese Sicherheitsanfälligkeit wurde unter den AdvisoryCode-Beratungs-IDs untersucht DC-2018-05-008 /. DC-2018-05-007 /. DC-2018-05-008 (bzw.) und wurde als mittelschwere Bedrohung an allen drei Fronten eingestuft. Es ist in der PHP-Sprache in den aufgeführten WordPress-Plugins vorhanden und wirkt sich auf alle Versionen der Plugins bis einschließlich v2.5.3 für Gwolle Guestbook, v2.31.4 für Strong Testimonials und v1.1.3 für Snazzy Maps aus.
Die Sicherheitsanfälligkeit bezüglich Cross-Site-Scripting wird ausgenutzt, wenn ein böswilliger Angreifer sorgfältig einen JavaScript-Code mit URL erstellt und das WordPress-Administratorkonto so manipuliert, dass eine Verbindung zu dieser Adresse hergestellt wird. Eine solche Manipulation kann durch einen auf der Website veröffentlichten Kommentar erfolgen, auf den der Administrator versucht ist, zu klicken, oder durch eine E-Mail, einen Beitrag oder eine Forumsdiskussion, auf die zugegriffen wird. Sobald die Anfrage gestellt wurde, wird der verborgene Schadcode ausgeführt und der Hacker erhält vollständigen Zugriff auf die WordPress-Site dieses Benutzers. Mit dem Open-End-Zugriff auf die Website kann der Hacker mehr solcher Schadcodes in die Website einbetten, um Malware auch auf die Besucher der Website zu übertragen.
Die Sicherheitslücke wurde ursprünglich am 1. Juni von DefenseCode entdeckt und WordPress wurde 4 Tage später informiert. Dem Anbieter wurde die Standardfreigabefrist von 90 Tagen eingeräumt, um eine Lösung vorzulegen. Bei der Untersuchung wurde festgestellt, dass die Sicherheitsanfälligkeit in der Funktion echo () vorhanden war, insbesondere in der Variablen $ _SERVER ['PHP_SELF'] für das Gwolle Guestbook-Plugin, der Variablen $ _REQUEST ['id'] im Plugin Strong Testimonials und die Variable $ _GET ['text'] im Snazzy Maps-Plugin. Um das Risiko dieser Sicherheitsanfälligkeit zu verringern, wurden von WordPress Updates für alle drei Plugins veröffentlicht, und Benutzer werden gebeten, ihre Plugins auf die jeweils neuesten verfügbaren Versionen zu aktualisieren.
