WordPress Gwolle Guestbook ข้อความรับรองที่แข็งแกร่งและปลั๊กอินแผนที่ Snazzy เสี่ยงต่อการโจมตี XSS

ข่าว
ความปลอดภัย / WordPress Gwolle Guestbook ข้อความรับรองที่แข็งแกร่งและปลั๊กอินแผนที่ Snazzy เสี่ยงต่อการโจมตี XSS อ่าน 2 นาที

WordPress. ออร์เดอร์แลนด์



พบช่องโหว่ของการเขียนสคริปต์ข้ามไซต์ (XSS) ในปลั๊กอิน WordPress สามตัว ได้แก่ ปลั๊กอิน Gwolle Guestbook CMS, ปลั๊กอินคำรับรองที่แข็งแกร่งและปลั๊กอิน Snazzy Maps ในระหว่างการตรวจสอบความปลอดภัยตามปกติของระบบด้วย DefenceCode ThunderScan ด้วยการติดตั้งปลั๊กอิน Gwolle Guestbook ที่ใช้งานอยู่มากกว่า 40,000 ครั้งการติดตั้งปลั๊กอิน Strong Testimonials มากกว่า 50,000 ครั้งและการติดตั้งปลั๊กอิน Snazzy Maps ที่ใช้งานอยู่มากกว่า 60,000 ครั้งช่องโหว่การเขียนสคริปต์ข้ามไซต์ทำให้ผู้ใช้มีความเสี่ยงที่จะให้สิทธิ์การเข้าถึงของผู้ดูแลระบบไปยัง a ผู้โจมตีที่เป็นอันตรายและเมื่อทำเสร็จแล้วให้ผู้โจมตีมีบัตรผ่านฟรีเพื่อเผยแพร่โค้ดที่เป็นอันตรายต่อผู้ชมและผู้เยี่ยมชม ช่องโหว่นี้ได้รับการตรวจสอบภายใต้รหัสคำแนะนำ DefenceCode DC-2018-05-008 / DC-2018-05-007 / DC-2018-05-008 (ตามลำดับ) และถูกกำหนดให้เป็นภัยคุกคามระดับกลางในทั้งสามด้าน มีอยู่ในภาษา PHP ในปลั๊กอิน WordPress ที่ระบุไว้และพบว่ามีผลกับปลั๊กอินทุกเวอร์ชันจนถึงและรวมถึง v2.5.3 สำหรับ Gwolle Guestbook, v2.31.4 สำหรับ Strong Testimonials และ v1.1.3 สำหรับ Snazzy Maps

ช่องโหว่การเขียนสคริปต์ข้ามไซต์จะถูกใช้เมื่อผู้โจมตีที่เป็นอันตรายประดิษฐ์โค้ด JavaScript ที่มี URL อย่างระมัดระวังและจัดการบัญชีผู้ดูแลระบบ WordPress ให้เชื่อมต่อกับที่อยู่ดังกล่าว การจัดการดังกล่าวอาจเกิดขึ้นผ่านความคิดเห็นที่โพสต์บนไซต์ที่ผู้ดูแลระบบถูกล่อลวงให้คลิกหรือผ่านทางอีเมลโพสต์หรือการอภิปรายในฟอรัมที่เข้าถึง เมื่อมีการร้องขอรหัสที่เป็นอันตรายที่ซ่อนอยู่จะทำงานและแฮ็กเกอร์จะสามารถเข้าถึงไซต์ WordPress ของผู้ใช้รายนั้นได้อย่างสมบูรณ์ ด้วยการเข้าถึงไซต์แบบเปิดแฮ็กเกอร์สามารถฝังโค้ดที่เป็นอันตรายดังกล่าวลงในไซต์เพื่อแพร่กระจายมัลแวร์ไปยังผู้เยี่ยมชมไซต์ได้เช่นกัน



DefenceCode ค้นพบช่องโหว่ในวันแรกของเดือนมิถุนายนและ WordPress ได้รับแจ้งในอีก 4 วันต่อมา ผู้จำหน่ายได้รับช่วงเวลาการเผยแพร่มาตรฐาน 90 วันเพื่อดำเนินการแก้ไขปัญหา จากการตรวจสอบพบว่ามีช่องโหว่ในฟังก์ชัน echo () และโดยเฉพาะตัวแปร $ _SERVER ['PHP_SELF'] สำหรับปลั๊กอิน Gwolle Guestbook ตัวแปร $ _REQUEST ['id'] ในปลั๊กอิน Strong Testimonials และ ตัวแปร $ _GET ['text'] ในปลั๊กอิน Snazzy Maps เพื่อลดความเสี่ยงของช่องโหว่นี้การอัปเดตสำหรับปลั๊กอินทั้งสามได้รับการเผยแพร่โดย WordPress และขอให้ผู้ใช้อัปเดตปลั๊กอินของตนเป็นเวอร์ชันล่าสุดตามลำดับ