WordPress. Orderland
Une vulnérabilité de script intersite (XSS) a été découverte dans trois plugins WordPress: le plugin Gwolle Guestbook CMS, le plugin Strong Testimonials et le plugin Snazzy Maps, lors d'une vérification de sécurité de routine du système avec le DefenseCode ThunderScan. Avec plus de 40000 installations actives du plugin Gwolle Guestbook, plus de 50000 installations actives du plugin Strong Testimonials et plus de 60000 installations actives de ce type du plugin Snazzy Maps, la vulnérabilité de script intersite expose les utilisateurs au risque de donner l'accès administrateur à un attaquant malveillant, et une fois cela fait, donner à l'attaquant un laissez-passer gratuit pour diffuser davantage le code malveillant aux téléspectateurs et aux visiteurs. Cette vulnérabilité a été étudiée sous les identifiants d'avis DefenseCode DC-2018-05-008 / DC-2018-05-007 / DC-2018-05-008 (respectivement) et a été déterminé à représenter une menace moyenne sur les trois fronts. Il existe en langage PHP dans les plugins WordPress répertoriés et il a été constaté qu'il affectait toutes les versions des plugins jusqu'à et y compris la v2.5.3 pour Gwolle Guestbook, la v2.31.4 pour Strong Testimonials et la v1.1.3 pour Snazzy Maps.
La vulnérabilité de script intersite est exploitée lorsqu'un attaquant malveillant crée soigneusement un code JavaScript contenant une URL et manipule le compte administrateur WordPress pour qu'il se connecte à ladite adresse. Une telle manipulation pourrait se produire à travers un commentaire publié sur le site sur lequel l'administrateur est tenté de cliquer ou via un e-mail, un message ou une discussion de forum auquel il accède. Une fois la demande effectuée, le code malveillant caché est exécuté et le pirate parvient à obtenir un accès complet au site WordPress de cet utilisateur. Avec un accès ouvert au site, le pirate informatique peut intégrer davantage de codes malveillants de ce type dans le site pour propager également des logiciels malveillants aux visiteurs du site.
La vulnérabilité a été initialement découverte par DefenceCode le premier juin et WordPress en a été informé 4 jours plus tard. Le fournisseur a eu la période de publication standard de 90 jours pour proposer une solution. Après enquête, il a été constaté que la vulnérabilité existait dans la fonction echo (), et en particulier la variable $ _SERVER ['PHP_SELF'] pour le plugin Gwolle Guestbook, la variable $ _REQUEST ['id'] dans le plugin Strong Testimonials, et la variable $ _GET ['text'] dans le plugin Snazzy Maps. Pour atténuer le risque de cette vulnérabilité, des mises à jour pour les trois plugins ont été publiées par WordPress et les utilisateurs sont priés de mettre à jour leurs plugins respectivement vers les dernières versions disponibles.
![[Mise à jour] La recherche Windows 10 peut donner des résultats vides probablement en raison de l'intégration du backend Bing Cloud, voici comment le faire fonctionner à nouveau](https://jf-balio.pt/img/news/57/windows-10-search-might-give-blank-results-likely-due-backend-bing-cloud-integration.jpg)
