Plugin KingComposer WordPress: Vulnerabilità xss , interessati oltre 100.000 siiti

Il team Wordfence analisti in sicurezza hanno segnalato una serie di vulnerabilità del controllo degli accessi riferibile al plugin KingComposer, un plug-in di WordPress installato su oltre 100.000 siti. La vulnerabilità è di tipo Cross-Site Scripting (XSS) attualmente ancora seenza patch.

Si consiglia vivamente di rimanere vigili quando si fa clic su collegamenti o allegati in commenti, e-mail e altre fonti di comunicazione a meno che non si sia sicuri della loro integrità e legittimità.

Note patch:

public function install_online_preset(){
 
    $data = isset($_POST['kc-online-preset-data']) ? esc_attr($_POST['kc-online-preset-data']) : '';
    $link = isset($_POST['kc-online-preset-link']) ? esc_url($_POST['kc-online-preset-link']) : '';
    $link = str_replace( 'http://features.kingcomposer.com/', 'https://kingcomposer.com/presets/', $link);
    $callback = '
    <script type="text/javascript">
        top.kc.cfg.preset_link = "'.$link.'";
        top.kc.backbone.push(\''.str_replace( "\n", '\'+"\n"+\'', base64_decode($data)).'\');
        top.kc.tools.popup.close_all();
    </script>';
 
    echo $callback;
 
    exit;
 
}

Questa funzione esegue il rendering di JavaScript in base al contenuto dei parametri kc-online-preset-linke kc-online-preset-data. Dal momento che utilizza le funzioni esc_attre esc_url, a prima vista sembra sicuro. Sfortunatamente, tuttavia, i contenuti del kc-online-preset-dataparametro vengono decodificati in base64 dopo questo passaggio.