Плагин AMP превратил сайты WordPress в площадку для вредоносной рекламы

Плагин Accelerated Mobile Pages ( AMP ) для WordPress , используемый более чем на 100 000 сайтах, недавно исправил уязвимость , позволявшую злоумышленнику внедрять вредоносные скрипты, которые активировались при посещении сайта пользователями.

Проблема заключалась в уязвимости межсайтового скриптинга (Cross Site Scripting, XSS ) через шорткоды ( CVE-2023-48321 , CVSS: 6.5). В WordPress плагины могут столкнуться с такими уязвимостями, если они не обеспечивают адекватную проверку или очистку пользовательских данных от лишних элементов.

Очистка вводимых данных (Санитизация) – это процесс блокировки или фильтрации нежелательных типов данных, например, когда плагин позволяет добавлять текст через поле ввода, но не фильтрует другие типы вводимых данных, такие как скрипты или ZIP-файлы.

Шорткоды в WordPress — это функционал, позволяющий пользователям вставлять специальные теги ([пример]) в тексты постов и страниц. Шорткоды активируют определенные функции или содержимое плагинов, и упрощают настройку плагина через административную панель.

Обнаруженная уязвимость позволяла атакующим вставлять вредоносные скрипты на сайт через механизм шорткодов плагина, что могло привести к автоматическому перенаправлению или показу рекламы во время того, когда пользователи посещают сайт.

ИБ-компания Patchstack сообщила, что проблема была устранена в версии плагина 1.0.89. Отмечается, что версии до 1.0.88.1 включительно содержали недостаточную санацию и экранирование пользовательских данных, что и привело к возникновению уязвимости.

Компания Wordfence, специализирующаяся на безопасности WordPress, подчеркивает, что для эксплуатации уязвимости требуется наличие у злоумышленника прав на уровне участника (contributor) сайта или выше. Пользователям советуют обновить плагин до версии 1.0.89 или выше для обеспечения безопасности.