描述:访问控制不足导致 Subscriber 远程代码执行
受影响的插件:Elemento
插件蛞蝓:elemento
插件开发者:Elemento
受影响的版本:3.6.0 – 3.6.2
CVE ID:CVE-2022-1329
CVSS 分数:9.9(临界)
CVSS 矢量:CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
研究员:Ramuel Gall
完全修补版本:3.6.3
WordPress 的 Elementor 插件在 3.6.0 版本中引入了一个 Onboarding 模块,旨在简化插件的初始设置。该模块使用一种不寻常的方法来注册 AJAX 操作,在其构造函数中添加一个 admin_init 侦听器,该侦听器首先检查请求是否发往 AJAX 端点并在调用 may_handle_ajax 函数之前包含有效的随机数。
不幸的是,在易受攻击的版本中没有使用能力检查。经过身份验证的用户可以通过多种方式获取 Ajax::NONCE_KEY,但最简单的方法之一是以登录用户的身份查看管理仪表板的源,因为它存在于所有经过身份验证的用户中,即使对于订阅者级别的用户。
这意味着任何登录用户都可以使用任何入职功能。此外,访问 Ajax::NONCE_KEY 的未经身份验证的攻击者可以使用从 may_handle_ajax 调用的任何函数,尽管这可能需要一个单独的漏洞。
影响最严重的函数是upload_and_install_pro 函数。攻击者可以制作伪造的恶意“Elementor Pro”插件 zip 并使用此功能进行安装。假插件中存在的任何代码都将被执行,这些代码可用于接管站点或访问服务器上的其他资源。
除了这个功能,一个不太复杂的攻击者可以简单地通过使用maybe_update_site_name、maybe_upload_logo_image 和maybe_update_site_logo 函数来更改站点名称和徽标来破坏站点。
时间线
2022 年 3 月 29 日——我们完成调查并部署防火墙规则,以保护 Wordfence Premium、Wordfence Care 和 Wordfence Response 客户。我们将全部披露信息发送给插件开发人员的官方安全联系人。
2022 年 4 月 5 日 - 我们与插件开发人员的安全联系人联系,因为我们尚未收到回复。
2022 年 4 月 11 日 – 我们向 WordPress 插件团队发送我们的全部披露信息。
2022 年 4 月 12 日 – Elementor 的补丁版本发布。
2022 年 4 月 28 日 – 免费 Wordfence 用户可以使用防火墙规则。
