WordPress. Страна порядка
Уязвимость межсайтового скриптинга (XSS) была обнаружена в трех плагинах WordPress: плагине Gwolle Guestbook CMS, плагине Strong Testimonials и плагине Snazzy Maps во время обычной проверки безопасности системы с помощью DefenseCode ThunderScan. Имея более 40 000 активных установок плагина Gwolle Guestbook, более 50 000 активных установок плагина Strong Testimonials и более 60 000 активных таких установок плагина Snazzy Maps, уязвимость межсайтового скриптинга подвергает пользователей риску предоставления доступа администратора к злоумышленник, и как только это будет сделано, злоумышленник получит бесплатный доступ к дальнейшему распространению вредоносного кода среди зрителей и посетителей. Эта уязвимость была исследована с использованием консультативных идентификаторов DefenseCode. DC-2018-05-008 / DC-2018-05-007 / DC-2018-05-008 (соответственно) и был определен как представляющий среднюю угрозу на всех трех фронтах. Он существует на языке PHP в перечисленных плагинах WordPress, и было обнаружено, что он влияет на все версии плагинов вплоть до v2.5.3 для Gwolle Guestbook, v2.31.4 для Strong Testimonials и v1.1.3 для Snazzy Maps.
Уязвимость межсайтового сценария используется, когда злоумышленник тщательно создает код JavaScript, содержащий URL-адрес, и манипулирует учетной записью администратора WordPress для подключения к указанному адресу. Такая манипуляция может происходить через комментарий, размещенный на сайте, который заставляет администратора щелкнуть, или через электронное письмо, сообщение или обсуждение на форуме, к которому осуществляется доступ. После того, как запрос сделан, запускается скрытый вредоносный код, и хакеру удается получить полный доступ к сайту WordPress этого пользователя. Имея открытый доступ к сайту, хакер может встраивать в него больше таких вредоносных кодов, чтобы распространять вредоносное ПО и среди посетителей сайта.
Первоначально уязвимость была обнаружена DefenseCode 1 июня, а WordPress был проинформирован 4 дня спустя. Поставщику был предоставлен стандартный период выпуска в 90 дней, чтобы предложить решение. В ходе расследования было обнаружено, что уязвимость существует в функции echo (), в частности в переменной $ _SERVER ['PHP_SELF'] для подключаемого модуля Gwolle Guestbook, переменной $ _REQUEST ['id'] в подключаемом модуле Strong Testimonials и переменная $ _GET ['text'] в плагине Snazzy Maps. Чтобы снизить риск этой уязвимости, WordPress выпустил обновления для всех трех плагинов, и пользователям предлагается обновить свои плагины до последних доступных версий соответственно.
![[FIX] Ошибка при загрузке этой фотографии из библиотеки iCloud](https://jf-balio.pt/img/how-tos/05/error-downloading-this-photo-from-your-icloud-library.jpg)
