Национальная база данных уязвимостей США опубликовала рекомендацию об уязвимости XSS, затрагивающей популярный конструктор контактных форм Metform Elementor, который подвергает уязвимости более 200 000 активных установок.

Сохраненный межсайтовый скриптинг (XSS)

Сохраненная уязвимость XSS — это уязвимость, при которой веб-сайт не может должным образом защитить входные данные, например форму отправки, что позволяет хакеру загрузить вредоносный скрипт на сервер.

Затем сценарий загружается и выполняется браузером посетителей сайта, что позволяет хакеру украсть файлы cookie посетителей или получить разрешения их веб-сайта, что затем может привести к захвату веб-сайта.

Некоммерческий проект Open Worldwide Application Security Project (OWASP) описывает уязвимость межсайтового скриптинга:

«Злоумышленник может использовать XSS для отправки вредоносного скрипта ничего не подозревающему пользователю.

Браузер конечного пользователя не может узнать, что сценарию нельзя доверять, и выполнит его.

Поскольку он считает, что сценарий получен из надежного источника, вредоносный сценарий может получить доступ к любым файлам cookie, маркерам сеанса или другой конфиденциальной информации, сохраняемой браузером и используемой на этом сайте».

Существуют различные виды XSS-атак.

Уязвимость, затрагивающая плагин контактной формы Elementor, называется хранится XSS, потому что вредоносный скрипт загружается и хранится на самих серверах веб-сайта.

Что делает эту уязвимость особенно опасной, так это то, что это неаутентифицированная версия, а это означает, что злоумышленнику не нужно какое-либо разрешение веб-сайта, чтобы начать атаку.

Этой конкретной уязвимости была присвоена оценка угрозы 7,2 по шкале от 1 до 10, где уровень 10 является наивысшим уровнем.

Что вызвало уязвимость

Уязвимость вызвала проблема с кодом в плагине, который не смог проверить и заблокировать нежелательные входные данные через форму отправки контактов.

Этот процесс проверки и блокировки нежелательных загрузок называется очисткой.

ЧИТАТЬ  Google: наполнение ключевых слов само по себе не делает страницу бесполезной

Вторая проблема заключалась в том, что подключаемый модуль не смог защитить данные, которые он выводит. Это называется экранированием вывода.

WordPress публикует страница разработчика об экранировании данныхчто объясняет:

«Экранирование вывода — это процесс защиты выходных данных путем удаления нежелательных данных, таких как искаженный HTML или теги сценария. Этот процесс помогает защитить ваши данные до того, как они будут переданы конечному пользователю».

Две основные проблемы, приведшие к уязвимости, — это неспособность очистить входные данные, чтобы избежать выходных данных.

Национальная база данных уязвимостей предупреждение объясняет:

«Плагин Metform Elementor Contact Form Builder для WordPress уязвим для хранимых межсайтовых сценариев через текстовые области в формах в версиях до 3.1.2 включительно из-за недостаточной очистки ввода и экранирования вывода.

Это позволяет злоумышленникам, не прошедшим проверку подлинности, внедрять произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь обращается к внедренной странице, которая является страницей отправки».

Плагин Metform Elementor исправлен

Издатели Metform Elementor Contact Form Builder выпускали исправления в течение нескольких версий для устранения уязвимости.

Это обновленные версии плагина и их исправления:

  • Версия 3.2.0
    Улучшен: Безопасность и санитарная обработка
  • Версия 3.2.2
    Зафиксированный: Проблема с разрешением безопасности для конечной точки REST API
  • Версия 3.2.3 (обновлено 06.03.2023)
    Зафиксированный: Проблема с экранированием в поле подписи.
    Зафиксированный: Отправка формы для незарегистрированных пользователей.

Издателям WordPress, использующим конструктор контактных форм Metform Elementor, следует рассмотреть возможность обновления своего плагина до версии 3.2.3, которая полностью исправлена.

Прочтите рекомендацию на веб-сайте Национальной базы данных уязвимостей:

CVE-2023-0084 Сведения

Прочтите официальный журнал изменений плагинов, в котором описаны патчи:

Список изменений построителя контактных форм Metform Elementor

Избранное изображение Shutterstock/Asier Romero





Source link