Национальная база данных уязвимостей правительства США опубликовала рекомендацию об уязвимости Stored Cross-Site Scripting в популярном плагине Popup Maker для WordPress.
Содержание
Создатель всплывающих окон для WordPress
Уязвимость была обнаружена в плагине WordPress «Popup Maker — всплывающее окно для подписки, генерации лидов и т. д.», который установлен более чем на 700 000 веб-сайтов.
Плагин Popup Maker интегрируется со многими из самых популярных контактных форм с функциями, предназначенными для увеличения конверсий в магазинах WooCommerce, подписки на рассылку новостей по электронной почте и других популярных приложений, связанных с лидогенерацией.
Хотя плагин существует только с 2021 года, он пережил феноменальный рост и получил более 4000 пятизвездочных отзывов.
Уязвимость создателя всплывающих окон
Уязвимость, затрагивающая этот плагин, называется хранимым межсайтовым скриптингом (XSS). Он называется «хранимым», потому что вредоносный скрипт загружается на сайт и хранится на самом сервере.
Уязвимости XSS обычно возникают, когда входные данные не могут очистить то, что загружается. Везде, где пользователь может вводить данные, это может стать уязвимым из-за отсутствия контроля над тем, что может быть загружено.
Эта конкретная уязвимость может возникнуть, когда хакер может получить учетные данные пользователя с уровнем доступа не ниже участника, который инициирует атаку.
Правительство США Национальная база данных уязвимостей описывает причину уязвимости и то, как может произойти атака:
«Плагин Popup Maker для WordPress до версии 1.16.9 не проверяет и не экранирует один из своих атрибутов шорткода, что может позволить пользователям с такой низкой ролью, как участник, выполнять атаки с использованием сохраненных межсайтовых сценариев».
В официальном журнале изменений, опубликованном автором плагина, указано, что эксплойт позволяет человеку с доступом на уровне участника запускать JavaScript.
Плагин для создания всплывающих окон список изменений для версии V1.16.9 примечания:
«Безопасность: исправлена уязвимость XSS, позволяющая участникам запускать нефильтрованный JavaScript».
Компания по обеспечению безопасности WPScan (принадлежит Automattic) опубликовала доказательство концепции, показывающее, как работает эксплойт.
«Как участник, поместите следующий шорткод в запись/на страницу
[pum_sub_form name_field_type=”fullname” label_name=”Name” label_email=”Email” label_submit=”Subscribe” placeholder_name=”Name” placeholder_email=”Email” form_layout=”block” form_alignment=”center” form_style=”default” privacy_consent_enabled=”yes” privacy_consent_label=”Notify me about related content and special offers.” privacy_consent_type=”radio” privacy_consent_radio_layout=”inline” privacy_consent_yes_label=”Yes” privacy_consent_no_label=”No” privacy_usage_text=”If you opt in above we use this information send related content, discounts and other special offers.” redirect_enabled redirect=”javascript:alert(/XSS/)”]
XSS будет запускаться при предварительном просмотре/просмотре публикации/страницы и отправке формы».
Хотя нет описания того, насколько серьезным может быть эксплойт, в целом уязвимости Stored XSS могут иметь серьезные последствия, включая полный захват сайта, раскрытие пользовательских данных и установку троянских программ.
После выпуска исходного исправления для версии 1.16.9 были выпущены последующие обновления, в том числе более новое обновление, исправляющее ошибку, появившуюся в исправлении безопасности.
Самая последняя версия плагина Popup Maker — V1.17.1.
Издателям, у которых установлен плагин, следует подумать об обновлении последней версии.
Цитаты
Ознакомьтесь с рекомендацией Национальной базы данных уязвимостей правительства США:
Прочтите рекомендации WPScan
Popup Maker < 1.16.9 – Contributor+ Сохраненный XSS через форму подписки
Избранное изображение Shutterstock/Asier Romero
