V známom doplnku WordPress (s približne 60 000 inštaláciami v čase písania tohto článku) sa objavila nová zraniteľnosť vkladania objektov PHP.
Táto konkrétna zraniteľnosť má vo všeobecnosti vysoké skóre CVSS (Common Vulnerability Scoring System) 8,1 (z 10) a ovplyvňuje Plugin kalendár rezervácií od wpdevelop/oplugins.
Doplnok umožňuje vlastníkovi webových stránok rezervovať si stretnutia s potenciálnymi klientmi (alebo existujúcimi klientmi) pomocou online rezervačného systému.
Dodáva sa tiež s možnosťou publikovať flexibilnú časovú os, ktorá tiež zobrazuje existujúce rezervácie a otváracie miesta pomocou nasledujúceho krátkeho kódu: [bookingflextimeline].
Ako uvádza Wordfence:
Flexibilná časová os zahŕňa možnosť konfigurovať preferencie a možnosti zobrazenia pri prezeraní zverejnenej časovej osi. Niektoré z týchto volieb boli odovzdané v serializovanom dátovom formáte PHP a neserializované funkciou define_request_view_params_from_params v core/timeline/v2/wpbc-class-timeline_v2.php.
Útočník by mohol kontrolovať serializované údaje niekoľkými spôsobmi:
- Ak bola zverejnená časová os, neoverený útočník by mohol získať nonce potrebnú na odoslanie požiadavky AJAX s akciou nastavenou na WPBC_FLEXTIMELINE_NAV a timeline_obj[options] nastavený na serializovaný objekt PHP.
- Akýkoľvek overený útočník by mohol použiť vstavanú akciu parse-media-shortcode AJAX na vykonanie [bookingflextimeline] shortcode, pridaním atribútu options do sady shortcode do serializovaného objektu PHP. Fungovalo by to aj na stránkach bez zverejnenej časovej osi.
- Útočník s oprávneniami na úrovni prispievateľa alebo vyššími by tiež mohol vložiť súbor [bookingflextimeline] krátky kód obsahujúci atribút škodlivých možností do príspevku a spustite ho zobrazením ukážky alebo získajte WPBC_FLEXTIMELINE_NAV nonce zobrazením ukážky [bookingflextimeline] shortcode a potom pomocou metódy #1.
Kedykoľvek môže útočník ovládať dáta, ktoré nie sú serializované pomocou PHP, môže vložiť objekt PHP s vlastnosťami podľa vlastného výberu. Ak je prítomný aj reťazec POP, môže útočníkovi umožniť spustiť ľubovoľný kód, odstrániť súbory alebo inak zničiť alebo získať kontrolu nad zraniteľnou webovou stránkou. Našťastie v doplnku Booking nebol prítomný žiadny reťazec POP, takže útočník by potreboval trochu šťastia a ďalší výskum, aby túto zraniteľnosť zneužil. Napriek tomu sa POP reťazce objavujú v mnohých populárnych softvérových knižniciach, takže veľa stránok môže byť stále zneužitých, ak je nainštalovaný ďalší doplnok využívajúci jednu z týchto knižníc.
Ak ste tak ešte neurobili, nezabudnite opraviť doplnky
Odporúčame aktualizovať vaše pluginy na najnovšiu verziu, pretože boli opravené.
Ak sa ubezpečíte, že ste inovovali na najnovšie verzie, nevystavujete sa riziku, že vás ohrozia hackeri využívajúci tieto zraniteľnosti.
Ak ste tak ešte neurobili, nezabudnite na svoju stránku pridať bezpečnostný doplnok, ako je Wordfence, aby za vás mohol kontrolovať aj tieto typy zraniteľností.