Güvenlik açığı hakkında bilgilendirme
WordPress için WTI Like Post eklentisi 1.4.4’ün yönetim sayfasında Saklanan XSS güvenlik açığı bulundu. Yönetici hazırlanmış verileri gönderdikten sonra, depolanan komut dosyası herkese açık yayınları ziyaret eden tüm kullanıcılar için yürütülür.
Düzenle (WPScanTeam):
27 Mart 2020 – Rapor alındı. 11 Mart 2020’de yayımlanan v1.4.5 sorunu düzeltmeye çalıştı, ancak düzeltme yeterli değil (yalnızca istemci tarafında yapılır). Ayrıca, olayları olan yükler hala çalışır. Araştırmacıya e-posta göndererek, daha sonra yazarlarla iletişim kurdu.
7 Nisan 2020 – Yazarlar araştırmacıya “bu konuda daha fazla iyileştirme yapacaklarını” söyledi.
22 Nisan 2020 – Araştırmacıya güncelleme istendi
28 Nisan 2020 – WP Plugin ekibine iletilen araştırmacı aracılığıyla yazarlardan güncelleme yok.
1 Mayıs 2020 – Eklenti inceleme için kapatıldı
Referans
CVE 2020-8799
