Istnieje ogólnie popularna wtyczka do tworzenia stron, która została zgłoszona jako zawierająca wiele luk w zabezpieczeniach WordPress. Luki te, choć nie są aktywnie atakowane, nadal narażają 90 000 witryn na ryzyko włamań lub gorszych skutków.
Wordfence odkrył dwie nowe luki oraz lukę w kontroli dostępu, która została wcześniej załatana.
Ta wtyczka jest znana jako Wtyczka Brizy Page Builder.
Największe zmartwienie Poinformowano o Wordfence Jeśli chodzi o te luki, to można je łączyć ze sobą w celu ułatwienia pełnego przejęcia witryny.
Inną obawą jest to, że taka kombinacja może pozwolić na modyfikowanie opublikowanych postów przez dowolnego zalogowanego użytkownika, a każdy taki użytkownik może dodać do posta złośliwy JavaScript. Istnieje również inna wada, która umożliwia każdemu zalogowanemu użytkownikowi zdalne wykonanie kodu poprzez przesłanie potencjalnie wykonywalnych plików.
Wynik CVSS (Common Vulnerability Scoring System) tych luk jest następujący:
Luka w zabezpieczeniach WordPress 1: Nieprawidłowe kontrole autoryzacji umożliwiające modyfikację postów
Luka ta ma wynik CVSS wynoszący 7,1, który jest uważany za wysoki.
Według Wordfence wtyczka wykorzystuje funkcje Brizy_Editor::is_administrator i Brizy_Editor_User:is_administrator do wielu typów kontroli autoryzacji, a użytkownik, który pomyślnie przejdzie tę kontrolę, jest dosłownie postrzegany jako administrator. Zasadniczo pomija to prawie wszystkie kontrole możliwości używane przez wtyczkę. Błąd logiczny w tych instrukcjach polega na tym, że zalogowani użytkownicy, którzy uzyskali dostęp do dowolnego punktu końcowego katalogu wp-admin, wystarczyli, aby przejść kontrolę z powodu użycia funkcji is_admin() do sprawdzenia autoryzacji.
Oznacza to, że każdy post lub strona może być modyfikowany przez dowolnego zalogowanego użytkownika, w tym subskrybenta. Dzieje się tak nawet wtedy, gdy post został już opublikowany. Błąd logiczny był taki sam, jak załatany w wersji 1.0.126 i ponownie wprowadzony w wersji 1.0.127. Tylko Brizy_Editor::is_administrator istniał w wersjach wcześniejszych niż 1.0.127.
Chociaż ta luka sama w sobie może być uciążliwa, ta luka umożliwia wykorzystanie dwóch luk w celu ułatwienia pełnego przejęcia witryny.
Luka w zabezpieczeniach WordPress 2: Uwierzytelnione przechowywane skrypty między witrynami
Luce tej przypisano średni poziom zagrożenia CVSS równy 6,4.
W przypadku tej luki użytkownicy o niższych uprawnieniach mogą dodać dowolny JS, w którym chcą umieszczać treść strony. Użytkownik o niższych uprawnieniach może modyfikować żądania wysyłane w celu aktualizacji strony za pośrednictwem akcji AJAX brizy_update_item, dodając JavaScript do parametru data.
Ten dodatkowy JS jest wykonywalny, jeśli post był przeglądany lub przeglądany przez innego użytkownika, na przykład administratora.
Luka w zabezpieczeniach WordPress 3: uwierzytelnione przesyłanie plików i przechodzenie ścieżki
Luce tej przypisano poziom zagrożenia CVSS równy 8,8, który jest uznawany za wysoki.
Ze względu na lukę związaną z kontrolą autoryzacji każdy użytkownik na poziomie subskrybenta może przesyłać pliki wykonywalne do dowolnej wybranej przez siebie lokalizacji za pomocą akcji brizy_create_block_screenshot za pośrednictwem AJAX.
Złośliwi użytkownicy mogą podać dowolną nazwę pliku z parametrem ID. Zawartość pliku można następnie wypełnić za pomocą parametru ibsf, stosując dekodowanie base64 i zapisać ją w pliku.
Aby dodać obrazę do obrażeń, wtyczka nie tylko dołączała plik .jpg do wszystkich przesłanych nazw plików, ale mogła również przeprowadzać ataki z podwójnym rozszerzeniem.
Przykładowo: plik o nazwie Shell.php można zapisać jako Shell.php.jpg, który może być również wykonywalny w wielu różnych konfiguracjach. Dotyczyło to również Apache/modPHP z niezakotwiczoną dyrektywą ADdHandler lub SetHandler.
Co więcej, osoba atakująca może po prostu poprzedzić nazwę pliku znakiem ../, aby przeprowadzić atak polegający na przechodzeniu przez katalog. Plik mógłby następnie zostać zapisany w całkowicie dowolnej lokalizacji, co mogłoby następnie ominąć ograniczenia wykonania dodane przez .htaccess.
Według Wordfence’a:
„Dostarczając plik z rozszerzeniem .php w parametrze id oraz kod PHP zakodowany w base64 w parametrze ibsf, osoba atakująca może skutecznie przesłać wykonywalny plik PHP i uzyskać pełne zdalne wykonanie kodu w witrynie, umożliwiając przejęcie witryny”.
Zaktualizuj wtyczkę WordPress do narzędzia Brizy Page Builder!
Chociaż wszyscy użytkownicy Wordfence, zarówno wersji bezpłatnej, jak i premium, są objęci ochroną od 2020 roku, nadal zdecydowanie zalecamy aktualizację do najnowszej wersji Brizy, czyli 2.3.17.
Należy to zrobić szczególnie, jeśli nie korzystasz z wtyczki zabezpieczającej Wordfence.
