WordPress. Orderland
Sivustojen välinen komentosarjahaavoittuvuus (XSS) löydettiin kolmesta WordPress-laajennuksesta: Gwolle Guestbook CMS -laajennuksesta, Strong Testimonials -laajennuksesta ja Snazzy Maps -laajennuksesta järjestelmän rutiinitarkistuksessa DefenceCode ThunderScan -ohjelmalla. Yli 40 000 aktiivisen Gwolle Guestbook -laajennuksen, yli 50000 Strong Testimonials -laajennuksen aktiivisen asennuksen ja yli 60 000 Snazzy Maps -laajennuksen aktiivisen tällaisen asennuksen ansiosta sivustojen välinen komentosarjahaavoittuvuus asettaa käyttäjät vaaraan antaa järjestelmänvalvojalle käyttöoikeuden haitallinen hyökkääjä, ja kun se on tehty, annetaan hyökkääjälle vapaa pääsy levittää haitallinen koodi edelleen katsojille ja vierailijoille. Tätä heikkoutta on tutkittu DefenceCode-neuvontatunnuksilla DC-2018-05-008 / DC-2018-05-007 / DC-2018-05-008 (ja vastaavasti) ja on päättänyt aiheuttaa keskimääräisen uhan kaikilla kolmella rintamalla. Se on olemassa PHP-kielellä luetelluissa WordPress-laajennuksissa, ja sen on havaittu vaikuttavan kaikkiin laajennusten versioihin asti v2.5.3 Gwolle Guestbookille, v2.31.4 Strong Testimonialsille ja v1.1.3 Snazzy Mapsille.
Sivustojen välistä komentosarjahaavoittuvuutta hyödynnetään, kun haitallinen hyökkääjä käsittelee huolellisesti URL-osoitetta sisältävän JavaScript-koodin ja manipuloi WordPress-järjestelmänvalvojan tilin muodostamaan yhteyden kyseiseen osoitteeseen. Tällainen manipulointi voi tapahtua sivustolle lähetetyn kommentin kautta, jonka järjestelmänvalvoja houkuttelee napsauttamaan avattua sähköpostia, viestiä tai foorumikeskustelua. Kun pyyntö on tehty, piilotettu haittaohjelma suoritetaan ja hakkeri onnistuu saamaan täydellisen pääsyn kyseisen käyttäjän WordPress-sivustoon. Sivuston avoimen pääsyn avulla hakkeri voi upottaa enemmän tällaisia haitallisia koodeja sivustoon levittääksesi haittaohjelmia myös sivuston kävijöille.
Alun perin DefenceCode havaitsi haavoittuvuuden ensimmäisenä kesäkuuta ja WordPressille ilmoitettiin neljä päivää myöhemmin. Myyjälle annettiin tavanomainen 90 päivän julkaisuaika ratkaisun esittämiseen. Tutkimuksen aikana havaittiin, että haavoittuvuus oli echo () -toiminnossa ja erityisesti $ _SERVER ['PHP_SELF'] -muuttujassa Gwolle Guestbook -laajennuksessa, $ _REQUEST ['id'] -muuttujassa Strong Testimonials -laajennuksessa ja $ _GET ['text'] -muuttuja Snazzy Maps -laajennuksessa. Tämän haavoittuvuuden riskin pienentämiseksi WordPress on julkaissut päivitykset kaikille kolmelle laajennukselle ja käyttäjiä pyydetään päivittämään laajennuksensa uusimpiin käytettävissä oleviin versioihin.
