В популярном плагине для CMS WordPress была обнаружена XSS уязвимость, позволяющая злоумышленнику внедрить вредоносный код в параметре first_name.

Participants Database — плагин CMS WordPress для управления базой данных пользователей. На данный момент плагин загружен 320 000 раз и имеет более 10 000 активных установок.

Уязвимость Cross Site scripting (XSS) в плагине Participants Database 1.7.5.9 позволяет злоумышленникам выполнить произвольный javascript код через параметр first_name.

Уязвимость XSS находится в текстовом поле ввода формы регистрации участника. Функция get_field_value_display() в PDb_FormElement.class.php не удаляет специальные символы HTML, позволяя злоумышленнику выполнить javascript код.

curl -k -F action=signup -F subsource=participants-database -F shortcode_page=/?page_id=1 -F thanks_page=/?page_id=1 -F instance_index=2 -F pdb_data_keys=1.2.9.10 -F session_hash=0123456789 -F first_name=[XSS] -F last_name=a -F email=a@a.com -F mailing_list=No -F submit_button=Submit http://localhost/?page_id=1  

Использование Web Application Firewall позволяет блокировать подобные атаки.