Pesquisadores divulgaram uma falha de segurança que afeta três plugins diferentes do WordPress que impactam mais de 84.000 sites e podem ser abusados por um agente mal-intencionado para assumir sites vulneráveis.
Essa falha possibilitou que um invasor atualizasse opções arbitrárias do site em um site vulnerável, desde que eles pudessem enganar o administrador de um site para realizar uma ação, como clicar em um link.
Disse a empresa de segurança Wordfence em um relatório publicado na semana passada.
Rastreada como CVE-2022-0215, a falha de falsificação de solicitações entre sites (CSRF) é avaliada em 8,8 na escala CVSS que vai até 10 e impacta três plugins mantidos pela Xootix
- Login/Signup Popup (Formulário Inline + Woocommerce)
- Side Cart Woocommerce (Ajax)
- Waitlist Woocommerce (De volta ao notificador de ações)
A falsificação de solicitação de local cruzado, também conhecida como ataque de um clique ou equitação de sessão, ocorre quando um usuário final autenticado é enganado por um invasor para enviar uma solicitação da Web especialmente criada. “Se a vítima for uma conta administrativa, a CSRF pode comprometer toda a aplicação web”, observa o OWASP em sua documentação.
A vulnerabilidade é simples. Todos os três plugins registram a função que é iniciada através de uma ação. Esta função estava faltando uma verificação de nonce, o que significava que não havia validação sobre a integridade de quem estava conduzindo o pedido. save_settings wp_ajax
public function save_settings(){
if( !current_user_can( $this->capability ) ) return;
$formData = array();
$parseFormData = parse_str( $_POST['form'], $formData );
foreach ( $formData as $option_key => $option_data ) {
$option_data = array_map( 'sanitize_text_field', stripslashes_deep( $option_data ) );
update_option( $option_key, $option_data );
}
wp_send_json(array(
'error' => 0,
'notice' => 'Settings Saved',
));
}
Especificamente, a vulnerabilidade tem sua origem na falta de validação ao processar solicitações AJAX, efetivamente permitindo que um invasor atualize a opção “users_can_register” (ou seja, qualquer pessoa pode se cadastrar) em um site para verdadeiro e definir a configuração “default_role” (ou seja, a função padrão dos usuários que se registram no blog) para administrador, concedendo controle completo.
O Login/Signup Popup está instalado em mais de 20.000 sites, enquanto o Side Cart Woocommerce e o Waitlist Woocommerce foram instalados em mais de 4.000 e 60.000 sites, respectivamente, esses numeros são os oficiais, não são contabilizados os sites que utilizam os plugins de forma clandestina.
Após a divulgação responsável pelos pesquisadores do Wordfence em novembro de 2021, o problema foi abordado na versão 2.3 do Login/Signup Popup, na versão 2.1 do Side Cart Woocommerce e na versão 2.5.2 do Waitlist Woocommerce.
As descobertas vêm pouco mais de um mês depois que os atacantes exploraram fraquezas em quatro plugins e 15 temas do Epsilon Framework para atingir 1,6 milhão de sites WordPress como parte de uma campanha de ataque em larga escala originada de 16.000 endereços IP.
Embora essa vulnerabilidade de Falsificação de Solicitações entre Sites (CSRF) seja menos provável de ser explorada devido ao fato de que ela requer interação com o administrador, ela pode ter um impacto significativo para um site explorado com sucesso e, como tal, serve como um lembrete incrivelmente importante para permanecer ciente ao clicar em links ou anexos e para garantir que você esteja mantendo regularmente seus plugins e temas atualizados
Disse Chloe Chamberland, do Wordfence.
Você utiliza algum desses plugins que foram expostos?
Curta comente e compartilhe.