WordPress. Orderland
Se descubrió una vulnerabilidad de cross-site scripting (XSS) en tres complementos de WordPress: el complemento Gwolle Guestbook CMS, el complemento Strong Testimonials y el complemento Snazzy Maps, durante una comprobación de seguridad de rutina del sistema con DefenseCode ThunderScan. Con más de 40.000 instalaciones activas del complemento Gwolle Guestbook, más de 50.000 instalaciones activas del complemento Strong Testimonials y más de 60.000 instalaciones activas de este tipo del complemento Snazzy Maps, la vulnerabilidad de secuencias de comandos entre sitios pone a los usuarios en riesgo de ceder el acceso de administrador a un atacante malintencionado y, una vez hecho, le da al atacante un pase libre para difundir aún más el código malicioso a espectadores y visitantes. Esta vulnerabilidad ha sido investigada bajo los ID de aviso de DefenseCode DC-2018-05-008 / DC-2018-05-007 / DC-2018-05-008 (respectivamente) y se ha determinado que representa una amenaza media en los tres frentes. Existe en lenguaje PHP en los complementos de WordPress enumerados y se ha encontrado que afecta a todas las versiones de los complementos hasta e incluyendo v2.5.3 para Gwolle Guestbook, v2.31.4 para Strong Testimonials y v1.1.3 para Snazzy Maps.
La vulnerabilidad de secuencias de comandos entre sitios se explota cuando un atacante malintencionado crea cuidadosamente un código JavaScript que contiene una URL y manipula la cuenta de administrador de WordPress para que se conecte a dicha dirección. Tal manipulación podría ocurrir a través de un comentario publicado en el sitio en el que el administrador tiene la tentación de hacer clic oa través de un correo electrónico, publicación o discusión en un foro al que se accede. Una vez que se realiza la solicitud, se ejecuta el código malicioso oculto y el pirata informático logra obtener acceso completo al sitio de WordPress de ese usuario. Con el acceso de extremo abierto del sitio, el pirata informático puede incrustar más códigos maliciosos de este tipo en el sitio para propagar malware también a los visitantes del sitio.
La vulnerabilidad fue descubierta inicialmente por DefenseCode el primero de junio y WordPress fue informado 4 días después. Al proveedor se le dio el período de lanzamiento estándar de 90 días para presentar una solución. Tras la investigación, se encontró que la vulnerabilidad existía en la función echo (), y particularmente en la variable $ _SERVER ['PHP_SELF'] para el complemento Gwolle Guestbook, la variable $ _REQUEST ['id'] en el complemento Testimonios fuertes y la variable $ _GET ['text'] en el complemento Snazzy Maps. Para mitigar el riesgo de esta vulnerabilidad, WordPress ha publicado actualizaciones para los tres complementos y se solicita a los usuarios que actualicen sus complementos a las últimas versiones disponibles, respectivamente.
![[FIX] La aplicación está dañada y no se puede usar para instalar macOS](https://jf-balio.pt/img/how-tos/98/application-is-damaged.jpg)
