Эти проблемы являются недостатком межсайтового скриптинга (XSS), а также проблемой инъекции объектов PHP. Обе ошибки находятся в ожидании номера CVE, и обе имеют высокую степень серьезности, оценивая 7,5 из 10 по шкале оценки уязвимости CvSS.
Post Grid, верный своему названию, позволяет пользователям отображать свои сообщения в сеточном макете; в то же время Team Showcase предлагает способ легко выделить членов команды организации. Оба позволяли импортировать пользовательские макеты и использовали для этого почти идентичные – и уязвимые – функции, по словам Рэма Галла, исследователя Wordfence.
Ошибка XSS позволит злоумышленнику предоставить исходный параметр, указывающий на созданную вредоносную полезную нагрузку, размещенную в другом месте. Затем функция откроет файл, содержащий полезную нагрузку, расшифрует его и создаст новый макет страницы на основе его содержимого.
Вторая проблема, ошибка PHP object-injection, возникает в функции импорта, потому что она несериализовала полезную нагрузку, поставляемую в исходном параметре. Таким образом, злоумышленник может выполнить произвольный код, удалить или записать файлы или выполнить любое количество других действий, которые могут привести к захвату сайта.
Разработчик плагинов, PickPlugins, выпустил патчи, поэтому веб-администраторы должны обновить их как можно скорее. Исправленные версии-Post Grid V. 2.0.73 и Team Showcase V.1.22.16.