Продолжаем нашу постоянную рубрику “Уязвимые плагины WordPress”. За прошедший месяц исследователи безопасности обнаружили уязвимости в следующих плагинах WordPress:
- WordPress Plugin Motopress Hotel Booking Lite 4.2.4
- WordPress Plugin Popup Maker до 1.16.5
- WordPress ScrollReveal.js Effects 1.1.1
- WordPress Coru LFMember 1.0.2 и ниже
- WordPress WP-Invoice 4.3.1
- WordPress Curtain 1.0.2
- WordPress Booking Calendar 9.1 и ниже
- WordPress Stafflist 3.1.2 и ниже, 3.1.7 и ниже
- WordPress Plugin Blue Admin 21.06.01 и ниже
- WordPress WP Event Manager 3.1.27
- WordPress Tatsu Builder до 3.3.13
Наиболее критичная уязвимость CVE-2022-1463 в этот раз найдена в плагине Booking Calendar версии 9.1 и ниже. Уязвимость типа “PHP Object Injection” получила рейтинг CVSS 8.8 High. С помощью данной уязвимости любой неавторизованный пользователь может контролировать сериализованные данные временной шкалы системы бронирования и внедрять PHP объекты по своему выбору. Если также присутствует “POP chain”, она может позволить злоумышленнику выполнить произвольный код, удалить файлы или иным образом уничтожить или получить контроль над уязвимым веб-сайтом. Для устранения риска эксплуатации данной уязвимости рекомендуется обновить плагин Booking Calendar до версии 9.1.1.
Аналогичный рейтинг CVSS 8.8 High получила уязвимость CVE-2021-24581 Cross-Site Request Forgery (CSRF) в плагине Blue Admin версии 21.06.01 и ниже. Отсутствие защиты от CSRF приводит к возможности внедрения хранимого XSS. Плагин больше не поддерживается и рекомендуется использовать аналоги.
В плагине Stafflist версии 3.1.2 и ниже обнаружены две уязвимости - Cross-Site Request Forgery (CSRF) и SQL Injection. Первая уязвимость позволяет атакующему (аутентифицированному) удалять записи выполняя CSRF запросы из-за отсутствия проверки wp_nounce. Вторая уязвимость CVE-2022-1556 позволяет аутентифицированному атакующему внедрять SQL Injection в форму поиска на странице stafflist.
Обе уязвимости исправлены в версии 3.1.5 плагина.
Плагин Motopress Hotel Booking Lite версии 4.2.4 также уязвим к SQL Injection. В файле sync-urls-repository.php обнаружено два поля room_id и sync_id в которые можно внедрить SQL.
Ещё в одном плагине Tatsu Builder версии до 3.3.13 найдена уязвимость Remote Code Execution (RCE). Она получила идентификатор CVE-2021-25094 и рейтинг CVSS 8.1 (High). Исследователями безопасности обнаружено порядка 4 млн. атак с использованием данной уязвимости. Рекомендуется обновить данный плагин до версии 3.3.13, где уже исправлена проблема.
Примечательно то, что в прошлом выпуске мы уже писали об уязвимом плагине Curtain. В этот раз в нем обнаружили несколько хранимых XSS. Уязвимости присвоили идентификатор CVE-2022-1558. Такая уязвимость позволяет злоумышленнику украсть cookie, перехватить сессии или контролировать браузер жертвы.
Также, целый ряд других плагинов, подвержены XSS: WordPress Plugin Popup Maker в версиях до 1.16.5 (CVE-2022-1104), WordPress ScrollReveal.js Effects версии 1.1.1 (CVE-2022-1512), WordPress Coru LFMember версии 1.0.2 и ниже (CVE-2022-1618), WordPress WP-Invoice версии 4.3.1 (CVE-2022-1617), WordPress Stafflist версии 3.1.7 и ниже, WordPress WP Event Manager версии 3.1.27.
Если вы используете один из указанных выше плагинов, то рекомендуем обновить его до последней версии, чтобы злоумышленники не смогли воспользоваться уязвимостями на вашем сайте.
В этом выпуске хочется отметить фаззер Wordpress плагинов wpgarlic. С его помощью уже обнаружено более 140 уязвимостей в различных плагинах Wordpress с общим числом установок более 15 миллионов.
Этот инструмент является proof of concept, но имеет широкий спектр настроек - можно редактировать правила, определяющие критичность падения, функции логов, изменять полезные нагрузки, настраивать регулярные выражения, которые помогают искать интересные падения и информацию (например email). Также есть возможность настройки черных списков путей, действий и страниц, которые нельзя фаззить.
Скачать Wpgarlic можно по ссылке https://github.com/kazet/wpgarlic.
И как всегда, обновляйте используемые плагины, а если вы разработчик - попробуйте инструмент Wpgarlic!
#Wordpress #хакинг #хакеры #хакер #пентест #пентестинг #пентестер #плагины wordpress #pentest #кибербезопасность