וורדפרס. סדר סדר
פגיעות של סקריפטים בין אתרים (XSS) התגלתה בשלושה תוספי וורדפרס: תוסף CMS של Gwolle Guestbook, תוסף Strong Testimonials ותוסף Snazzy Maps, במהלך בדיקת אבטחה שגרתית של המערכת באמצעות DefenseCode ThunderScan. עם למעלה מ- 40,000 התקנות פעילות של תוסף Gwolle Guestbook, למעלה מ- 50,000 התקנות פעילות של תוסף Strong Testimonials ומעל ל- 60,000 התקנות כאלה פעיל של תוסף Snazzy Maps, הפגיעות של סקריפטים בין אתרים מציבה את המשתמשים בסיכון להעניק גישה למנהלי מערכת תוקף זדוני, ולאחר שנעשה זאת, נותן לתוקף מעבר חופשי להפיץ את הקוד הזדוני לצופים ולמבקרים. פגיעות זו נחקרה על פי תעודות הזהות המייעצות של DefenseCode DC-2018-05-008 / DC-2018-05-007 / DC-2018-05-008 (בהתאמה) והיה נחוש להוות איום בינוני בכל שלוש החזיתות. זה קיים בשפת PHP בתוספי WordPress הרשומים ונמצא כי הוא משפיע על כל גרסאות התוספים עד וכולל v2.5.3 עבור Gwolle Guestbook, v2.31.4 עבור המלצות חזקות ו- v1.1.3 עבור Snazzy Maps.
הפגיעות של סקריפטים בין אתרים מנוצלת כאשר תוקף זדוני יוצר בקפידה קוד JavaScript המכיל כתובת URL ומטפל בחשבון מנהל הוורדפרס להתחברות לכתובת האמורה. מניפולציה כזו עשויה להתרחש באמצעות תגובה שפורסמה באתר שהמנהל מתפתה ללחוץ עליה או דרך אימייל, פוסט או דיון בפורום אליו ניגשים. לאחר ביצוע הבקשה, פועל הקוד הזדוני שהוסתר וההאקר מצליח להשיג גישה מלאה לאתר הוורדפרס של אותו משתמש. עם גישה פתוחה לאתר, ההאקר יכול להטמיע עוד קודים זדוניים כאלה באתר כדי להפיץ תוכנות זדוניות גם למבקרים באתר.
הפגיעות התגלתה בתחילה על ידי DefenseCode בראשון ביוני, וורדפרס נמסר 4 ימים לאחר מכן. הספק קיבל את תקופת השחרור הרגילה של 90 יום כדי להגיע לפיתרון. לאחר חקירה נמצא כי הפגיעות קיימת בפונקציה echo (), ובמיוחד במשתנה $ _SERVER ['PHP_SELF'] עבור התוסף Gwolle Guestbook, המשתנה $ _REQUEST ['id'] בתוסף Strong Testimonials, וכן המשתנה $ _GET ['text'] בתוסף Snazzy Maps. כדי למתן את הסיכון לפגיעות זו, עדכונים עבור כל שלושת התוספים פורסמו על ידי וורדפרס והמשתמשים מתבקשים לעדכן את התוספים שלהם לגרסאות העדכניות ביותר הזמינות בהתאמה.
![[FIX] שגיאת VirtualBox NS_ERROR_FAILURE](https://jf-balio.pt/img/how-tos/91/virtualbox-error-ns_error_failure.png)
