影響 10 萬網站的 XSS 漏洞在 KingComposer WordPress 插件中被修補

該漏洞可能被利用在訪客瀏覽器中執行惡意有效載荷。

KingComposer是基于WordPress域名的拖放頁面生成器，無需對由內容管理系統（CMS）驅動的網站進行編程或直接編碼。

Wordfence威脅情報團隊于6月25日發現了XSS漏洞。通過對CVE-2020-15299進行跟蹤，并給出了6.1的嚴重評分，發現該插件用于使用Ajax函數來促進頁面生成器功能時發現了該安全漏洞。

其中一個Ajax函數沒有使用，但仍可以通過將POST請求發送到名為admin-ajax.php的腳本并將其動作參數設置為kc_install_online_preset來啟動。

該函數通過各種參數呈現JavaScript，然后對這些參數進行base64解碼。

“這樣，如果攻擊者在惡意有效負載上使用base64編碼，并誘使受害者在kc-online-preset-data參數中發送包含此有效負載的請求，則惡意有效負載將在受害者的瀏覽器中解碼并執行”，研究人員說。

反映的XSS漏洞依賴于受害者執行特定操作以觸發攻擊。例如，這可以通過提供需要單擊的惡意鏈接來實現，如果成功，則可能導致瀏覽器會話劫持或惡意軟件下載和執行。

Wordfence威脅情報團隊在發現插件后的第二天嘗試與他們聯系。但是，沒有任何回應，導致該團隊于6月25日直接與WordPress插件團隊聯系。到6月26日，與KingComposer開發人員取得了聯系，并于6月29日發布了補丁版本2.9.5。

通過刪除易受攻擊切且過時的Ajax函數解決了安全問題。

在撰寫本文時，62.1％的用戶已更新到2.9.5版，因此啟用了KingComposer的網站中仍有37.9％的風險被利用。