Le 14 mars 2023, l’équipe Wordfence Threat Intelligence a lancé le processus de divulgation responsable pour 2 vulnérabilités de script intersite presque identiques dans le thème Weaver Xtreme et le plugin Weaver Show Posts, qui ont chacun plus de 10 000 installations. Le développeur du plugin a répondu le jour même et nous avons fourni une divulgation complète.
Clôture des mots Prime, Se soucieret Réponse les utilisateurs ont reçu une règle de pare-feu pour se protéger contre tout exploit ciblant cette vulnérabilité le 14 mars 2023. Les sites utilisant encore la version gratuite de Wordfence ont reçu la même protection le 13 avril 2023.
Une version corrigée du plugin Weaver Show Posts, 1.7, a été publiée le 1er avril 2023, tandis que la version corrigée 6.2 du thème Weaver Xtreme est devenue disponible le 5 avril 2023.
Résumé des vulnérabilités de Wordfence Intelligence
Le thème Weaver Xtreme pour WordPress est vulnérable aux scripts intersites stockés en raison d’un échappement insuffisant du nom d’affichage du profil dans les versions jusqu’à la version 5.0.7 incluse. Cela permet aux attaquants authentifiés disposant d’autorisations de niveau contributeur et supérieur d’injecter des scripts Web arbitraires dans des pages qui s’exécuteront chaque fois qu’un utilisateur accédera à une page injectée.
Le plug-in Weaver Show Posts pour WordPress est vulnérable aux scripts intersites stockés en raison d’un échappement insuffisant du nom d’affichage du profil dans les versions jusqu’à la version 1.6 incluse. Cela permet aux attaquants authentifiés disposant d’autorisations de niveau contributeur et supérieur d’injecter des scripts Web arbitraires dans des pages qui s’exécuteront chaque fois qu’un utilisateur accédera à une page injectée.
Analyse de vulnérabilité
Le thème Weaver Xtreme et le plug-in Weaver Show Posts contiennent tous deux une fonctionnalité d’attribution d’auteur qui peut être utilisée par les visiteurs du site pour afficher tous les messages d’un auteur donné. Bien que la fonction en question ait utilisé l’échappement pour empêcher le Cross-Site Scripting, l’ordre des fonctions utilisées signifiait que le nom de l’auteur n’était pas réellement échappé lors de la sortie :
C’est le genre d’erreur qui serait très difficile à repérer via une révision manuelle du code – il regards correct et était presque certainement destiné à prévenir exactement le type de problème que nous avons trouvé. Nous ne l’avons repéré que parce que l’un des noms d’auteur sur notre plate-forme de test était prérempli avec une charge utile de script intersite, qui s’est déclenchée lors du test d’un problème sans rapport.
La raison pour laquelle cela est vulnérable est que le esc_attr la fonction s’exécute avant le sprintf fonction remplit la sortie non échappée de la get_the_author fonction.
La version corrigée échappe simplement la sortie de get_the_author puis enveloppe tout le bloc dans wp_kses_post pour faire bonne mesure :
Ce type de vulnérabilité souligne la nécessité de tests de sécurité dynamiques en plus de la révision du code, car les vulnérabilités se cachent souvent à la vue de tous.
Bien que ce type de vulnérabilité nécessite un attaquant de confiance (contributeur +) dans la plupart des configurations pour être exploité, le Cross-Site Scripting peut être utilisé pour prendre le contrôle d’un site Web, par exemple, si un administrateur affiche ou prévisualise une publication d’un contributeur avec un JavaScript malveillant masqué. dans leur nom d’auteur. Sur les sites qui utilisent des contributeurs, il est nécessaire que les administrateurs ou les éditeurs examinent les messages des contributeurs afin de les publier, il s’agit donc d’un risque réel pour les sites qui utilisent cette fonctionnalité.
Calendrier de divulgation
14 mars 2023 – Deux membres de notre équipe Threat Intelligence, Ramuel Gall et Alex Thomas, trouvent des problèmes similaires dans le thème Weaver Xtreme et le plugin Weaver Show Posts. Clôture des mots Prime, Se soucieret Réponse les utilisateurs reçoivent une règle de pare-feu pour fournir une protection contre tout exploit susceptible de cibler cette vulnérabilité. Nous divulguons le plugin de manière responsable au développeur, qui répond rapidement.
1 avril 2023 – Le plugin Weaver Show Posts reçoit un patch dans la version 1.7.
5 avril 2023 – Le thème Weaver Xtreme reçoit un patch en version 6.2.
13 avril 2023 – La règle de pare-feu devient disponible pour tous les utilisateurs de Wordfence.
Conclusion
Dans l’article d’aujourd’hui, nous avons détaillé deux failles dans le thème Weaver Xtreme et le plug-in Weaver Show Posts qui permettaient à des attaquants authentifiés, avec au moins un accès de niveau contributeur à un site, d’injecter du JavaScript via leur nom d’affichage, ce qui pourrait finalement conduire à une compromission complète du site. Cette faille a été entièrement corrigée dans la version 1.7 de Weaver Show Posts et 6.2 de Weaver Xtreme. Nous recommandons aux utilisateurs de WordPress de vérifier immédiatement que leur site a été mis à jour avec les dernières versions corrigées disponibles.
Clôture des mots Prime, Se soucieret Réponse les utilisateurs ont reçu une règle de pare-feu pour se protéger contre tout exploit ciblant cette vulnérabilité le 14 mars 2023. Les sites utilisant encore la version gratuite de Wordfence ont reçu la même protection le 13 avril 2023.
Si vous connaissez un ami ou un collègue qui utilise le thème Weaver Xtreme ou le plug-in Weaver Show Posts sur son site, nous vous recommandons fortement de lui transmettre cet avis pour aider à protéger ses sites.
Si vous êtes chercheur en sécurité, vous pouvez divulguez-nous vos découvertes de manière responsable et obtenez un ID CVE et obtenez votre nom sur le Classement Wordfence Intelligence.
Un merci spécial à Alex Thomas, chercheur principal sur les vulnérabilités des applications Web, pour avoir trouvé la deuxième vulnérabilité dans le plug-in Weaver Show Posts peu de temps après la découverte initiale de la vulnérabilité du thème Weaver Xtreme.
Source link