Всем привет, сегодня снова смотрим что там с уязвимостями WordPress и его плагинами.
В последний день лета обнаружены 3 серьезные проблемы в самом WordPress до 6.0.2:
- SQL Injection через Links LIMIT
- Stored Cross-Site Scripting через функцию the_meta
- Stored Cross-Site Scripting через Plugin Deactivation и ошибки в Deletion
Уязвимость SQL Injection получила рейтинг CVSSv3 8.0 (Высокий) и существует во всех устаревших версиях WordPress. WordPress Link, ранее известная как «Bookmarks», больше не включена по умолчанию в новых установках WordPress. На старых сайтах эта функциональность все еще может быть включена, а это означает, что миллионы устаревших сайтов потенциально уязвимы. Однако эта уязвимость требует прав администратора для успешной эксплуатации.
Уязвимые версии WordPress не могли очистить аргумент “limit” запроса на получение ссылок в функции “get_bookmarks”, используемый для обеспечения возврата определенного количества ссылок. В конфигурации по умолчанию только устаревший виджет Links вызывает функцию “get_bookmarks” таким образом, что этот аргумент может быть установлен пользователем.
Одна из Stored Cross-Site Scripting получила рейтинг CVSSv3 4.9 (Средний), поскольку требует дополнительные привилегии для эксплуатации.
Создатели контента WordPress, такие как Contributors, Editors, Authors и Administrators, имеют возможность добавлять настраиваемые поля на любую страницу и созданную публикацию. Это делается для того, чтобы создатели контента сайта могли добавлять и связывать дополнительные данные с сообщениями и страницами.
В WordPress есть несколько функций, доступных владельцам сайтов для отображения настраиваемых полей, созданных и связанных с записями и страницами. Одной из этих функций является функция “the_meta”, которая извлекает предоставленные данные настраиваемых полей сообщения или страницы, которые хранятся как метаданные сообщения, с помощью функций “get_post_custom_keys” и “get_post_custom_values”. Как только настраиваемые поля для поста/страницы получены, функция выводит post meta keys и данные значений в виде списка. К сожалению, в версиях ниже 6.0.2 эти данные не экранировались при выводе, что позволяло выполнять любые внедряемые скрипты в meta keys.
Другая Stored Cross-Site Scripting получила рейтинг CVSSv3 4.7 (Средний) и сложна для эксплуатации.
Уязвимость проявляется через сообщения об ошибках, которые отображаются, когда плагин был деактивирован из-за ошибки или когда плагин не может быть удален из-за ошибки. Поскольку эти сообщения об ошибках не экранированы, любой JavaScript, присутствующий в этих сообщениях, будет выполняться в сеансе браузера администратора, посещающего страницу плагинов. Эта уязвимость потребует установки на сайт отдельного вредоносного или уязвимого плагина, или другого кода, что обычно требует, чтобы администратор установил его самостоятельно. Почти во всех случаях, когда эта уязвимость может быть использована, злоумышленник уже прочно закрепился на уязвимом сайте.
Все вышеуказанные проблемы WordPress уже устранены в самой последней на данный момент версии 6.0.2. Рекомендуем скорее обновиться до нее.
Кроме того за август нашлись проблемы в следующих плагинах:
- WordPress Robo Gallery 3.2.1
- WordPress Plugin Duplicator
- WordPress Testimonial Slider And Showcase 2.2.6
- WordPress Plugin WP-UserOnline 2.87.6
- Transposh WordPress Translation 1.0.8.1
В плагине WordPress Robo Gallery версии 3.2.1 обнаружены сразу 2 проблемы - XSS-Stored и Bypass POST comment approvement. XSS обнаружена в форме отправки сообщений. Уязвимость обхода одобрения комментария может быть использована для загрузки вредоносного URL-адреса после одобрения комментария администратором. Для плагина пока не выпущено обновлений безопасности, поэтому рекомендуем временно исключить его использование.
В WordPress Plugin Duplicator версии 1.4.7.1 найдена уязвимость, которая позволяет любому пользователя скачать Backup после обновления 1.4.7.
А ещё в WordPress Plugin Duplicator версии 1.4.7 и ниже обнаружена возможность получения дополнительной информации о системе через вызов main.installer.php. В версии до 1.4.7 через main.installer.php можно получить файлы Backup. Рекомендуем обновить данный плагин до последней версии.
В плагинах WordPress Testimonial Slider And Showcase версии 2.2.6 в параметре post_title и WordPress Plugin WP-UserOnline версии 2.87.6 и ниже в User(s) Browsing Site обнаружены Stored XSS. Для плагина пока не выпущено обновлений безопасности, поэтому рекомендуем временно исключить его использование.
В фильтре Transposh WordPress Translation версии 1.0.8.1 и ниже обнаружена уязвимость некорректной авторизации. Данная уязвимость CVE-2022-2536 получила рейтинг CVSSv3 7.5 (Высокий). Успешная эксплуатация позволяет злоумышленнику, не прошедшему проверку подлинности, обойти разрешения Transposh и добавить переводы на сайт WordPress, тем самым повлияв на то, что отображается на сайте. На официальной странице плагина сообщается, что прекращена его поддержка. Рекомендуем исключить его использование.
Очередной месяц - очередная пачка уязвимых плагинов. Часть из них уже не поддерживается, либо отсутствуют патчи безопасности.
Рекомендуем своевременно обновляться и следить за нашей подборкой уязвимых плагинов, чтобы не пропустить уязвимый плагин на вашем сайте.
#Wordpress #cms #выборcms #кибербезопасность #информационная безопасность #информационнаябезопасность #cybersecurity #уязвимости