Nesta página: [ocultar]
Pesquisadores de segurança descobriram duas vulnerabilidades em um plugin do WordPress, desta vez afetando mais do que 200,000 sites. O plugin PageLayer contém dois XSS refletidos (cross-site scripting) falhas que podem permitir que os agentes da ameaça executem código JavaScript malicioso no navegador do administrador. Esta atividade maliciosa pode levar à aquisição do site WordPress de destino. A descoberta vem da equipe Wordfence.
A boa notícia é que Softaculous, os desenvolvedores do plug-in PageLayer, reagiu rapidamente após a divulgação. Um patch já está disponível, e os usuários do plugin devem aplicá-lo imediatamente. A versão segura do plugin é PageLayer 1.3.5. Se o seu site executa um firewall específico com proteção XSS integrada, você não será afetado pelos problemas.
Detalhes sobre as vulnerabilidades do plugin PageLayer
Primeiro, vamos explicar o que é XSS ou script entre sites. Em termos leigos, a definição se aplica a uma falha de segurança que permite que um invasor injete scripts do lado do cliente (como JavaScript) em uma página da web para acessar informações cruciais diretamente. Além disso, O XSS pode ser explorado para se passar por um usuário ou induzir um usuário a revelar informações que o invasor deseja possuir. Esses ataques’ os resultados incluem sequestro de sessões de usuário, desfigurar sites, ou redirecionando usuários para sites maliciosos.
PageLayer é um construtor de sites arrastar e soltar. As duas falhas de XSS residem em seu parâmetro de tamanho de fonte e configurações de cor. A primeira vulnerabilidade é avaliada 6.1 em termos de gravidade, o que significa perigo médio.
O plugin PageLayer tem uma página de configurações, permitindo que os designers do site selecionem a fonte e a cor padrão que o construtor de páginas utiliza. Essas opções são aceitas por meio de vários parâmetros $ _POST” “Por exemplo corpo[tamanho da fonte] ou h3[tamanho da fonte] pode ser usado para definir o tamanho da fonte para as tags body ou h3, e cor[fundo] pode ser usado para definir a cor de fundo”,”Wordfence explica.
Uma função particular, pagelayer_website_settings, foi usado para modificar essas configurações. Continha uma verificação de capacidade e um nonce para que apenas solicitações autorizadas pudessem aplicar mudanças. Contudo, se uma solicitação foi enviada sem o parâmetro de envio, a mudança não seria salva, e a solicitação continuaria para a função pagelayer_website_settings_T.
Esta função exibia formulários na página de configurações” “Infelizmente, esta função também chamou duas outras funções que aceitaram a entrada do usuário para exibir as configurações, e é aqui que um invasor pode injetar JavaScript malicioso que pode levar à aquisição de um site WordPress”,” os pesquisadores relataram.
E sobre a função pagelayer_website_color” “Se um invasor conseguiu enganar um administrador, fazendo-o clicar em um link que enviou uma solicitação POST contendo um subparâmetro de cor, como cor[fundo] definido como um script malicioso, esse script seria executado no navegador do administrador”,” Wordfence adicionado.
Mais detalhes técnicos estão disponíveis em o relatório original.