O plugin Acelerado Mobile Pages para WordPress, que é usado por mais de 100.000 usuários, solucionou um problema de segurança moderado que poderia permitir que um invasor inserisse códigos maliciosos para serem executados pelos visitantes do site.
Reescrita: Scripts Cross-Site por meio de Shortcodes
Um script cross-site (XSS) é uma das vulnerabilidades mais comuns. No caso de plugins WordPress, as vulnerabilidades XSS ocorrem quando um plugin possui uma forma de inserir dados que não é devidamente protegida por um processo que valida ou limpa as entradas do usuário.
A sanitização é uma forma de prevenir a entrada de tipos indesejados. Por exemplo, se um plugin permite que um usuário insira texto em um campo de entrada, ele também precisa limpar qualquer outra coisa que seja inserida nesse campo e que não seja adequada, como um script ou um arquivo zip.
Um shortcode é uma funcionalidade do WordPress que possibilita aos usuários inserirem uma tag semelhante a esta [exemplo] em posts e páginas. Os shortcodes incorporam recursos ou conteúdos fornecidos por um plugin. Isso permite aos usuários configurarem um plugin através do painel de administração e, em seguida, copiarem e colarem um shortcode em um post ou página onde desejam que a funcionalidade do plugin seja exibida.
Uma brecha de segurança chamada “cross-site scripting via shortcode” possibilita que um invasor insira scripts maliciosos em um site ao explorar a função shortcode do plugin.
Segundo um relatório divulgado recentemente pela Patchstack, uma empresa de segurança, o WordPress:
Isso pode possibilitar que uma pessoa com más intenções insira códigos maliciosos em seu site, como redirecionamentos, anúncios e outros conteúdos de HTML, que serão ativados quando os visitantes acessarem seu site.
A falha mencionada foi solucionada na versão 1.0.89.
De acordo com a Wordfence, a vulnerabilidade é explicada da seguinte forma:
O plugin Acelerated Mobile Pages para WordPress tem uma vulnerabilidade de Cross-Site Scripting armazenada através do uso de shortcodes do plugin em todas as versões até a 1.0.88.1. Isso ocorre devido a uma falha na limpeza adequada dos dados de entrada e saída, resultando na não-escapagem de atributos fornecidos pelo usuário.
O Wordfence também esclarece que essa vulnerabilidade é autenticada, o que implica que, para essa exploração em particular, um hacker precisa ter pelo menos um nível de permissão de contribuinte para tirar proveito da vulnerabilidade.
A Patchstack classifica este exploit como uma vulnerabilidade moderada, com uma pontuação de 6,5 em uma escala de 1 a 10 (sendo 10 o mais crítico).
Recomenda-se que os usuários verifiquem se suas instalações estão atualizadas para a versão 1.0.89, no mínimo.
O plugin WordPress Mobile Pages Plugin <= 1.0.88.1 possui uma vulnerabilidade de Cross-Site Scripting (XSS).
Cross-Site Scripting armazenado através de shortcode em Páginas Móveis Aceleradas com a versão 1.0.88.1 autenticada e com a permissão de contribuidor.
A imagem principal é fornecida pela Shutterstock, especificamente pelo usuário pedrorsfernandes.