Ошибки плагинов WordPress Page Builder угрожают 1 миллиону сайтов с полным поглощением

Уязвимость ВордПресс

Серьезные ошибки CSRF в XSS открывают двери для выполнения кода и полного компрометации сайта.

Page Builder от SiteOrigin, плагин WordPress с миллионом активных установок, который используется для создания веб-сайтов с помощью функции перетаскивания, содержит два недостатка, которые могут обеспечить полное поглощение сайта.

По словам исследователей из WordPress, обе ошибки безопасности могут привести к подделке межсайтовых запросов (CSRF) и отраженному межсайтовому скриптингу (XSS). Они «позволяют злоумышленникам подделывать запросы от имени администратора сайта и выполнять вредоносный код в браузере администратора», — сообщают исследователи Wordfence в публикации в понедельник.

 

Они присвоили обоим недостаткам степень серьезности 8,8 из 10, но CVE еще не были назначены.

 

В случае использования обе ошибки могут быть использованы для перенаправления администратора сайта, создания новой учетной записи администратора или добавления бэкдора на сайт.

Первая проблема заключается во встроенном живом редакторе в плагине — эта функция позволяет пользователям обновлять контент и перетаскивать виджеты, одновременно получая в режиме реального времени изменения на данном веб-сайте.

 

«Чтобы показать изменения в реальном времени через живой редактор, плагин регистрирует функцию is_live_editor (), чтобы проверить, есть ли пользователь в живом редакторе», — объяснили исследователи Wordfence. «Если пользователь находится в живом редакторе, для параметра siteorigin_panels_live_editor будет установлено значение« true », и он будет регистрировать, что пользователь обращается к живому редактору. Затем плагин попытается включить файл живого редактора, который отображает весь контент ».

 

Таким образом, этот файл рендеринга «live-editor-preview.php» обновляет предварительный просмотр страницы с изменениями, внесенными в режиме реального времени.

Нет стандарта защиты 

Такая уязвимость вордпресс происходит в связи с тем, что нет полноценной защиты для проверки того, что попытка рендеринга контента в живом редакторе исходила из законного источника, согласно Wordfence.

«Некоторые из доступных виджетов, такие как виджет« Пользовательский HTML », могут быть использованы для внедрения вредоносного JavaScript в визуализированную живую страницу», — пишут исследователи. «Если администратору сайта удалось получить доступ к специально созданной странице предварительного просмотра, любой вредоносный JavaScript, включенный в состав виджета Custom HTML, может быть выполнен в браузере».

Данные, связанные с предварительным просмотром в реальном времени, никогда не сохранялись в базе данных, что приводило к отраженному недостатку XSS, а не к сохраненному недостатку XSS, вместе с недостатком CSRF.

Вторым недостатком является также проблема CRSF to XSS, на этот раз в функции action_builder_content плагина, которая связана с действием AJAX wp_ajax_so_panels_builder_content.

«Цель этой функции состояла в том, чтобы передавать контент, представленный в виде Panel_data, из живого редактора в редактор WordPress, чтобы обновить или опубликовать публикацию, используя контент, созданный из живого редактора», — сказали исследователи. «У этой функции была проверка прав доступа, чтобы убедиться, что у пользователя была возможность редактировать сообщения для данного post_id. Тем не менее, не было никакой одноразовой защиты для проверки источника запроса, что вызвало ошибку CSRF ».

При тестировании эксплойтов исследователи обнаружили, что виджет «Текст» может использоваться для внедрения вредоносного JavaScript из-за возможности редактировать контент в «текстовом», а не «визуальном» режиме.

«Это позволило отправлять потенциально вредоносный JavaScript-файл без фильтрации», — утверждает Wordfence. «Из-за отображения данных виджета любой вредоносный код, который был частью данных текстовых виджетов, мог затем быть выполнен как часть комбинированной атаки CSRF на XSS в браузере жертвы».

 

Патчи

Ошибки влияют на Page Builder от SiteOrigin версии 2.10.15 и ниже; чтобы избежать полного захвата сайта, администраторы должны обновить свои плагины до версии 2.10.16.

 

Следует также отметить, что злоумышленник должен заставить администратора сайта выполнить действие, например щелкнуть ссылку или вложение, чтобы атака была успешной.

 

Плагины WordPress по-прежнему страдают от уязвимостей. В прошлом месяце стало известно, что легионы посетителей веб-сайта могут быть заражены вредоносным ПО, в частности, благодаря ошибке CSRF в Поиске и замене в реальном времени.

Также в апреле была обнаружена пара уязвимостей безопасности (одна из них критическая) в плагине поисковой оптимизации WordPress (SEO) под названием Rank Math. По словам исследователей, они могут позволить удаленным киберпреступникам повысить привилегии и установить вредоносные перенаправления на целевой сайт. RankMath — это плагин для WordPress с более чем 200 000 установок.

 

Мартовские уязвимости

Также в марте две уязвимости вордпресс — включая уязвимость высокой степени серьезности — были исправлены в популярном плагине WordPress под названием Popup Builder. Более серьезный недостаток может позволить злоумышленнику, не прошедшему проверку подлинности, заразить вредоносный JavaScript во всплывающем окне, что может привести к захвату более 100 000 веб-сайтов.

А в феврале был обнаружен популярный плагин Duplicator для WordPress, имеющий более 1 миллиона активных установок, с уязвимостью к неаутентифицированному произвольному скачиванию файлов, которая подверглась атаке. В начале месяца был обнаружен критический недостаток популярного плагина WordPress, который помогает сделать веб-сайты совместимыми с Общим регламентом защиты данных (GDPR). Эта уязвимость может позволить злоумышленникам модифицировать контент или внедрить вредоносный код JavaScript в сайты-жертвы. Это затронуло 700 000 сайтов.

 

Источник: threatpost.com

Перевод: Анна М.

Понравилась статья? У нас таких есть еще — www.cryptocity.tech