Il Link Injection costituisce una delle vulnerabilità più pericolose per il sistema di blog WordPress.
Nell’ambito del sistema di statistica degli accessi, il referer indica da quale url gli utenti sono giunti nel blog ed è molto utile per capire se i post sono stati linkati dall’esterno e per sapere cosa si dice in merito al contenuto del post.
Il primo tipo di vulnerabilità riguarda la possibilità di modificare il campo referer dell’header HTTP per inserire un link nella pagina di amministrazione del blog. Inoltre, il gestore del blog nota un traffico crescente di visite proveniente dal link inserito, potrebbe essere curioso di conoscere l’autore dei commenti ai suoi post e va a visitare il link inserito ritrovandosi in un sito potenzialmente pericoloso.
Il secondo tipo di vulnerabilità è costituita dalla possibilità di inserire codice Javascript e fare Cross Site Scripting nel riepilogo statistico, poiché viene stampato un input generato da un utente esterno.