Te „złe” wtyczki WordPress sierpień 2021

Wykaz podatności wtyczek WordPress.

Sierpień 2021

Przedstawiamy listę ostatnich wykrytych podatności we wtyczkach WordPress w miesiącu sierpniu 2021. Zachęcamy do zapoznania się z poniższą listą i aktualizacją wtyczek.

Wybraliśmy tylko te bardziej popularne wtyczki zawierające groźniejsze podatności. 

Smash Balloon Social Post Feed < 2.19.2 – Unauthenticated Stored XSS

Aktywnych instalacji: 200,000+, CWE-79

Wtyczka nie oczyszcza ani nie zmienia znaczenia parametru feedID POST w akcji AJAX feed_locator (dostępnej zarówno dla uwierzytelnionych, jak i nieuwierzytelnionych użytkowników) przed wyświetleniem skróconej wersji w panelu administracyjnym, co prowadzi do problemu z nieuwierzytelnionymi skryptami przechowywanymi między witrynami, które zostaną wykonywane w kontekście zalogowanego administratora.

Koniecznie zalecamy aktualizację do najnowszej wersji  2.19.2 dostępnej w repozytorium, gdzie ta luka została załatana. 

BuddyPress < 9.1.1 – Wstrzyknięcie SQL

Aktywnych instalacji: 200,000+, CWE-79

Wtyczka została zaatakowana przez SQL Injection za pośrednictwem funkcji BP_Notifications_Notification::get_order_by_sql()  oraz BP_Invitation::get_order_by_sql() . Ponadto

wtyczka ujawniła klucz aktywacyjny z odpowiedzi metody create_item w kontrolerze BP REST API Signup.

Koniecznie zalecamy aktualizację do najnowszej wersji  9.1.1 dostępnej w repozytorium, gdzie obydwie luki zostały załatane. 

Bold Page Builder < 3.1.6 – PHP Object Injection

Aktywnych instalacji: 50,000+

Funkcja bt_bb_get_grid() AJAX we wtyczce przekazuje dane wprowadzone przez użytkownika do funkcji unserialize() bez żadnej walidacji ani oczyszczania, dzięki czemu można wstrzyknąć objekt PHP. 

Koniecznie zalecamy aktualizację do najnowszej wersji  3.1.6 dostępnej w repozytorium, gdzie ta luka została załatana. 

WP Cerber Security < 8.9.3 – Rest-API Protection Bypass

Aktywnych instalacji: 200,000+, CWE-502

Pierwsza luka to fakt iż wtyczka nieprawidłowo sprawdza niektóre parametry HTTP, co prowadzi do administracyjnego obejścia uwierzytelniania wieloskładnikowego. Natomiast luka kolejna to  fakt że endpoint interfejsu API REST /wp-json jest domyślnie blokowany przez WP Cerber przed dostępem do informacji jednak dodając znak „?” zabezpieczenia listy kontroli dostępu są pomijane i można z niej pobrać dane.

Koniecznie zalecamy aktualizację do najnowszej wersji  8.9.3 dostępnej w repozytorium, gdzie ta luka została załatana. 

ShareThis Dashboard for Google Analytics < 2.5.2 – XSS

Aktywnych instalacji: 200,000+, CWE-79

Wtyczka nie czyści ani nie zmienia znaczenia parametru „ga_action” w widoku statystyk przed wysłaniem go z powrotem do atrybutu, gdy wtyczka jest połączona z kontem Google Analytics, co prowadzi do odzwierciedlonego problemu XSS.

Proof of Concept

Plugin needs to be connected to Google Analytics account.

https://example.com/wp-admin/admin.php?page=googleanalytics&ga_action=%22%3E%3Cimg+src%3Dx+onerror%3Dalert%28document.domain%29%3E

Koniecznie zalecamy aktualizację do najnowszej wersji  2.5.2 dostępnej w repozytorium.

Ochrona przed lukami we wtyczkach WordPress?

Ochrona przed malware, atakami i podatnościami w WordPress!

Dla klientów Hostingu pod WordPress, Hostingu Elastycznego SSD oraz Hostingu WWW udostępniamy ochronę wspomaganą przez algorytmy sztucznej inteligencji (AI), które ustrzeże Twój serwer przed najnowszymi atakami, również atakami 0-Day zanim wyjdą hot-fixy!

Oprogramowanie analizuje to, co skrypty robią, a nie to, co faktycznie znajduje się w kodzie.

Sprawdź nasz Hosting pod WordPress!

O zabezpieczeniach… | Hosting pod WordPress

Email Encoder – Protect Email Addresses < 2.1.2 – XSS

Aktywnych instalacji: 60,000+, CWE-79

Wtyczka posiada punkt końcowy, który nie wymaga uwierzytelniania i renderuje wartość dostarczoną przez użytkownika w odpowiedzi HTML bez uciekania lub oczyszczania danych.

The vulnerable function is nonce protected, the nonce can be found in the site's HTML source by searching for the javascript variable "eeb_ef" 

POST /wp-admin/admin-ajax.php HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:78.0) Gecko/20100101 Firefox/78.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Content-Length: 129
Origin: http://127.0.0.1:8080
DNT: 1
Connection: keep-alive
Referer: http://127.0.0.1:8080/
Cookie: wordpress_test_cookie=WP%20Cookie%20check
Upgrade-Insecure-Requests: 1

action=eeb_get_email_form_output&eebsec=<your nonce here>&eebMethod=escape&eebDisplay=&lt;img src=1 onerror=alert(1)&gt;

WordPress Download Manager < 3.2.13 – Zmiana ustawień templatki mail via CSRF

Aktywnych instalacji: 100,000+, CWE-352

Wtyczka do zarządzania pobraniami w witrynie nie miała sprawdzania CSRF przed zapisaniem ustawień szablonu wiadomości e-mail, umożliwiając atakującym zmuszenie zalogowanego administratora do zmiany ich za pomocą ataku CSRF.

Zalecamy aktualizację do najnowszej wersji 3.2.13 dostępnej w repozytorium.

Tutor LMS < 1.9.6 – XSS

Aktywnych instalacji: 30,000+, CWE-79

W tej popularnej darmowej wtyczce do prowadzenia kursów on-line wykryto podatność. Wtyczka nie zmienia znaczenia parametru strony przed wysłaniem go z powrotem na stronę pulpitu ucznia, co prowadzi do problemu z odbiciem skryptów między witrynami (XSS).

Zalecamy aktualizację do najnowszej wersji 1.9.6 dostępnej w repozytorium.

FV Flowplayer Video Player < 7.5.3.727 – XSS

Aktywnych instalacji: 40,000+, CWE-79

Wtyczka nie zmienia znaczenia ani nie weryfikuje parametru player_id przed wysłaniem z powrotem na stronę Statystyki w panelu administracyjnym, co prowadzi do problemu z odbiciem skryptów między witrynami, który zostanie wykonany w kontekście zalogowanego administratora.

Zalecamy aktualizację do najnowszej wersji 7.5.3.727 dostępnej w repozytorium.

Hosting dla WordPress w HitMe!