Плагин AMP превратил сайты WordPress в площадку для вредоносной рекламы

Плагин Accelerated Mobile Pages (AMP) для WordPress, используемый более чем на 100 000 сайтах, недавно исправил уязвимость, позволявшую злоумышленнику внедрять вредоносные скрипты, которые активировались при посещении сайта пользователями.

Проблема заключалась в уязвимости межсайтового скриптинга (Cross Site Scripting, XSS) через шорткоды ( CVE-2023-48321 , CVSS: 6.5). В WordPress плагины могут столкнуться с такими уязвимостями, если они не обеспечивают адекватную проверку или очистку пользовательских данных от лишних элементов.

Очистка вводимых данных (Санитизация) – это процесс блокировки или фильтрации нежелательных типов данных, например, когда плагин позволяет добавлять текст через поле ввода, но не фильтрует другие типы вводимых данных, такие как скрипты или ZIP-файлы.

Шорткоды в WordPress — это функционал, позволяющий пользователям вставлять специальные теги ([пример]) в тексты постов и страниц. Шорткоды активируют определенные функции или содержимое плагинов, и упрощают настройку плагина через административную панель.

Обнаруженная уязвимость позволяла атакующим вставлять вредоносные скрипты на сайт через механизм шорткодов плагина, что могло привести к автоматическому перенаправлению или показу рекламы во время того, когда пользователи посещают сайт.

ИБ-компания Patchstack сообщила, что проблема была устранена в версии плагина 1.0.89. Отмечается, что версии до 1.0.88.1 включительно содержали недостаточную санацию и экранирование пользовательских данных, что и привело к возникновению уязвимости.

Компания Wordfence, специализирующаяся на безопасности WordPress, подчеркивает, что для эксплуатации уязвимости требуется наличие у злоумышленника прав на уровне участника (contributor) сайта или выше. Пользователям советуют обновить плагин до версии 1.0.89 или выше для обеспечения безопасности.