2022 年 1 月 4 日,Wordfence 威胁情报团队针对我们在“配置文件生成器 - 用户配置文件和用户注册表单”中发现的漏洞启动了负责任的披露流程,这是一个安装在 50,000 多个 WordPress 网站上的 WordPress 插件。此漏洞使未经身份验证的攻击者可以制作包含恶意 JavaScript 的请求。如果攻击者能够诱骗站点管理员或用户执行操作,恶意 JavaScript 就会执行,从而使攻击者可以创建新的管理员用户、重定向受害者或参与其他有害攻击。
在供应商确认处理讨论的收件箱后,我们于 2022 年 1 月 6 日向开发商发送了完整的披露细节。他们很快承认了该报告,并于 2022 年 1 月 10 日发布了修复程序。
我们强烈建议您确保您的站点已更新到“配置文件生成器 - 用户配置文件和用户注册表单”的最新修补版本,在本文发布时版本为 3.6.5。
描述:反射式跨站脚本
受影响的插件:配置文件生成器 - 用户配置文件和用户注册表单
插件块:配置文件生成器
插件开发商: Cozmoslabs
受影响的版本:<= 3.6.1
CVE ID:CVE-2022-0653
CVSS 分数:6.1(中等)
CVSS 矢量:CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
研究员:Chloe Chamberland
完全修补版本:3.6.2
配置文件生成器 - 用户配置文件和用户注册表单是一个插件,旨在为 WordPress 站点添加增强的用户配置文件和注册功能。插件中的漏洞很简单。
该插件添加了一个文件 ~/assets/misc/fallback-page.php,在没有为用户激活电子邮件功能选择激活页面的情况下,该文件用作后备页面。不幸的是,该文件使用了用户提供的来自 site_url 参数的值,在“href”属性中没有充分的清理/转义和验证,这意味着攻击者可以使用 JavaScript 伪协议 javascript: 来注入恶意脚本。
由于攻击者还可以通过 site_name 和 message 参数控制页面上的一些数据,因此攻击者可以将其格式化为包含用户需要单击才能返回的链接的 404 页面到该站点,与其他可能的有效载荷呈现方式相比,这有助于显着降低其可疑性。如果用户单击“单击此处”中的链接,则会触发 JavaScript 的执行。
利用例子(https://email.wordfence.com/e3t/Btc/GC 113/cwG7R04/VWjQgs4rqL9QW6T5ZlL7X8k2pVNrtzX4FFLr1N2v9B135js6pV3Zsc37CgWl-W5DfXFH7C2H_VW2dPx1R7nxln-N5QrQb4Bk2zKM5z2pMl6-hmN77-PypPjB9nW365Szn6mQNZ8W3DH38v7TjdNGW37tY9l8LjYpjW8BC38517VQ6rW5Z2X-T3dHMdwW1SrGbr3RptyxW23FtLg4BTd00W2MM_TQ6z6d9gW9hnmWN7l_JnJW1992NW4Tnyr8W7GK-bg1x0nyPW60vRmd1cH6CQW77rVN06y04LCW6Cnln-7cGrMcW89rHc63rTsxwW6gp15_8JdPF4N53pY6Ppt6GmN1NtRSsJ5-bBVzsg1j7vJdN7W8bdVmT4scnjDN6YJFTs9NtwjW6XhtcF5mX5H0VSkq2b1QHc2YW5Tb0cg2CL7zCMNl9bJ2G01dVtS1cf6hyNjSW6LhBZy83WVWL32W61)
跨站点脚本漏洞可被利用来执行多项操作,例如创建新的管理用户帐户、注入带有后门的主题和插件文件以及将访问者重定向到恶意站点,所有这些都可用于完全接管站点。此漏洞需要用户单击链接才能成功,并提醒站点管理员和用户遵循安全最佳实践并避免单击来自不受信任来源的链接。
此漏洞还可用于通过简单地在 site_url
参数中注入任何域来将用户重定向到恶意站点。
时间线
2022 年 1 月 4 日 - 插件分析的结论导致在“配置文件生成器 - 用户配置文件和用户注册表单”插件中发现反射跨站点脚本漏洞。我们验证 Wordfence 防火墙是否提供了足够的覆盖范围。我们开始与开发商联系。
2022 年 1 月 5 日 – 开发人员确认收件箱以处理讨论。
2022 年 1 月 6 日——我们发送了完整的披露细节。开发人员确认该报告并表示他们将进行修复。
2022 年 1 月 10 日 – 该插件的完整补丁版本发布为 3.6.2 版。
结论
在今天的帖子中,我们详细介绍了“配置文件生成器 - 用户配置文件和用户注册表单”插件中的一个漏洞,该漏洞使未经身份验证的攻击者可以将恶意 JavaScript 注入易受攻击的站点,只要毫无戒心的用户单击包含恶意载荷。此漏洞已在 3.6.2 版中得到全面修补。
我们建议 WordPress 网站所有者立即验证他们的网站是否已更新到可用的最新修补版本,即本文发布时的版本 3.6.5。