در دومین ماه میلادی سال 2021 نیز همانند ماههای گذشته، آسبپذیریهایی در پلاگینها و قالبهای وردپرس کشف شده است. در مقاله امروز ایرانسرور، به بررسی این آسیبپذیریها پرداخته و نکات مهم را به شما میگوییم.
با ما همراه باشید.
آسیب پذیریهای کشف شده در پلاگینهای وردپرس
طبق روال همیشگی، ابتدا به بررسی باگهای موجود در افزونههای وردپرس میپردازیم و بعد به سراغ قالبها میرویم.
آسیبپذیری SSRF در پلاگین Under Construction, Coming Soon & Maintenance Mode
فایل includes/mc-get_lists.php از پارامتر apiKey برای ایجاد https url بدون فیلتر استفاده میکند و منجر به حمله SSRF میشود.
نسخههای آسیبپذیر در این پلاگین: 1.1.2 و ما قبل آن
آسیبپذیری XSS در پلاگین Under Construction, Coming Soon & Maintenance Mode
این آسیبپذیری نیز مانند مورد قبلی به دلیل مشکلی که در فیلتر کردن ورودیهای فایل includes/mc-get_lists.php وجود دارد، راهی برای حمله XSS Reflected ایجاد میکند.
نسخههای آسیبپذیر در این پلاگین: 1.1.2 و ما قبل آن
آسیبپذیری XSS در پلاگین NextGEN Gallery Pro
در ماژول eCommerce این پلاگین، امکان تزریق کدهای مخرب جاوا اسکریپت و حمله Reflected XSS وجود دارد.
نسخههای آسیبپذیر در این پلاگین: 3.1.11 و ما قبل آن
آسیبپذیری API Key Disclosure در پلاگین Web-Stat
زمانی که شما از یک وبسایت – که دارای نسخه آسیبپذیر این پلاگین باشد – بازدید کنید، تابع wts_web_stat_load_init از مرورگر شما استفاده میکند تا یک درخواست XHR به آدرس زیر ارسال کند:
wts2.one/ajax.htm?action=lookup_WP_account
این درخواست شامل اطلاعات حساسی است. response مربوط به این درخواست شامل یک API key است که با استفاده از آن میتوان به صورت مستقیم به یک پنل مدیریتی مربوط به آمار سایت دسترسی پیدا کرد.
نسخههای آسیبپذیر در این پلاگین: 1.4.1 و ما قبل آن
آسیبپذیری XSS در پلاگین Photo Gallery by 10web
این پلاگین دارای پارامتر bwg_search_X از نوع GET است که به درستی ورودیها را فیلتر نمیکند و همین موضوع منجر به اجرای حمله Reflected XSS میشود.
نسخههای آسیبپذیر در این پلاگین: 1.5.69 و ما قبل آن
آسیبپذیری RCE در پلاگین YITH WooCommerce Gift Cards Premium
یک آسیبپذیری file upload در این پلاگین وجود دارد که به واسطه آن هکر میتواند فایل دلخواه خود را آپلود کند. این فایلها میتوانند به هکر اجازۀ اجرای دستورات دلخواه روی سرور را بدهند.
نسخههای آسیب پذیر در این پلاگین: 3.3.1 و ما قبل آن
آسیبپذیری RCE در پلاگین QuadMenu
عملیات AJAX در قسمت compiler_save در این پلاگین، پسوند فایل import شده را بررسی نمیکند و همین موضوع میتواند باعث قرار گرفتن فایلهای PHP دلخواه هکر و در نهایت شروع حمله RCE شود.
نسخههای آسیبپذیر در این پلاگین: 2.0.7 و ما قبل آن
آسیبپذیری XSS در پلاگین Testimonial Rotator
آسیبپذیری Stored XSS در این پلاگین به کاربران با سطح دسترسی پایین (مانند contributor) اجازه تزریق کدهای جاوا اسکریپت دلخواه را میدهد. کاربران سطح عادی با این باگ میتوانند سطح دسترسی را افزایش دهند و در صورتی که به سطح مدیریت برسند، عملیات مخرب انجام دهند.
نکته: جهت بهره برداری از این آسیب پذیری لازم است تا پلاگین themify-portfolio-post هم در وبسایت نصب شده باشد.
نسخههای آسیبپذیر در این پلاگین: تا این لحظه تمامی نسخههای این پلاگین آسیبپذیرند.
آسیبپذیری File Upload در پلاگین Backup Guard
این پلاگین نوع فرمت و پسوند فایلهای import شده را بررسی نمیکند و کاربران با سطح دسترسی بالا امکان آپلود فایلهای PHP دلخواه خود را خواهند داشت. این باگ در نهایت میتواند منجر به حمله RCE شود.
نسخههای آسیبپذیر در این پلاگین: 1.6.0 و ما قبل آن
آسیبپذیری CSRF Nonce Bypass در پلاگین eCommerce Product Catalog
در این پلاگین CSRF nonce در تابع ic_order.save بهدرستی بررسی نمیشود. این موضوع به هکر اجازه ذخیره سفارشات دیجیتال دلخواه را میدهد.
نسخههای آسیبپذیر در این پلاگین: 3.0.18 و ما قبل آن
آسیبپذیری CSRF Nonce Bypass در پلاگین Better Search
این پلاگین CSRF nonce ها را در هنگام export و import تنظیمات به درستی بررسی نمیکند و همین موضوع میتواند باعث شود تا هکر تنظیمات دلخواه خود را به کاربر مورد نظر export یا import کند.
نسخههای آسیبپذیر در این پلاگین: 2.5.3 و ما قبل آن
آسیبپذیری CSRF Nonce Bypass در پلاگین Custom Banners
در این پلاگین به درستی CSRF nonce در تابع saveCustomFields بررسی نمیشود که این موضوع به هکر اجازه میدهد تا custom fields های یک کاربر را تغییر داده و ذخیره کند.
نسخههای آسیبپذیر در این پلاگین: 3.3 و ما قبل آن
آسیبپذیری CSRF در پلاگین Ninja Forms
این پلاگین در قسمت wp_ajax_nf_oauth_disconnect فاقد مکانیزم امنیتی بوده و باعث میشود هکر بتواند با یک درخواست جعلی، OAuth connection سایت را غیرفعال کند.
نسخههای آسیبپذیر در این پلاگین: 3.4.34 و ما قبل آن
آسیبپذیری Open Redirect در پلاگین Ninja Forms
عملیات AJAX در قسمت wp_ajax_nf_oauth_connect فاقد مکانیزم امنیتی بوده و باعث میشود هکر بتواند حمله open redirect را پیاده سازی کند.
نسخههای آسیبپذیر در این پلاگین: 3.4.34 و ما قبل آن
آسیبپذیری Client Secret Key Disclosure در پلاگین Ninja Forms
عملیات AJAX در قسمت wp_ajax_ninja_forms_sendwp_remote_install_handler نیز فاقد مکانیزم امنیتی بوده و باعث میشود کاربران با سطح دسترسی پایین (مانند subscriber)، بتوانند پلاگین SendWP را نصب و فعال کنند و هنگام نصب این پلاگین، کلید client_secret مورد نیاز برای ایجاد اتصال را دریافت کنند.
نسخههای آسیبپذیر در این پلاگین: 3.4.34 و ما قبل آن
آسیبپذیری Arbitrary File Download در پلاگین Theme Editor
در این پلاگین پارامتر GET file به درستی اعتبارسنجی نشده و به کاربران با دسترسی سطح بالا اجازه دانلود فایلهای دلخواه خود در سرور را میدهد. (برای مثال فایل /etc/passwd)
علاهبراین، عملیات AJAX در قسمت wp_ajax_mk_theme_editor_file_open نیز دارای چنین آسیبپذیری است و از آن هم میتوان برای اجرای این حمله استفاده کرد.
نسخههای آسیبپذیر در این پلاگین: 2.6 و ما قبل آن
آسیبپذیری CSRF nonce Bypass در پلاگین Post SMTP Mailer/Email Log
بهواسطه این آسیبپذیری، کاربر میتواند nonce check های مربوط به export mail را دور بزند.
نسخههای آسیبپذیر در این پلاگین: 2.0.21 و ما قبل آن
آسیبپذیری XSS در پلاگین All In One WP Security & Firewall
در این پلاگین user agent های بن شده در قسمت settings آن به درستی فیلتر نمیشوند که ممکن است به کاربران با سطح دسترسی بالا این امکان را بدهد تا user agent های مخرب خود را همراه با پیلودهای XSS تحت شرایط خاص وارد نماید.
نسخههای آسیب پذیر در این پلاگین: 4.4.6 و ما قبل آن
آسیبپذیری File Uploadدر پلاگین Responsive Menu
با استفاده از این آسیبپذیری، یک subscriber میتواند یک فایل zip که در آن فایلهای php مخرب وجود دارد آپلود کند که در مسیر /rmp-menu/themes اکسترکت شوند. این فایلها سپس میتوانند در front end سایت قابل دسترس باشند و امکان حمله RCE را فراهم کنند.
نسخههای آسیبپذیر در این پلاگین: 4.0.0 – 4.0.3 و ما قبل آن
آسیبپذیری CSRF در پلاگین Responsive Menu
بهواسطه این آسیبپذیری، هکر امکان جعل درخواست و فریب administrator برای آپلود فایل zip حاوی فایلهای php مخرب را خواهد داشت. سپس هکر میتواند به آن فایلها جهت اجرای حمله RCE دسترسی داشته باشد.
همچنین با استفاده از این آسیبپذیری میتوان تنظیمات جدید را برای کاربر مدیر import کرد. این تنظیمات میتواند شامل پیلودهای مخرب جاوا اسکریپتی باشد و تاثیر حمله بیشتر شود.
نسخههای آسیبپذیر در این پلاگین: 4.0.4 و ما قبل آن
آسیبپذیری CSRF در پلاگین NextGen Gallery
با ارسال یک request که بدون پارامتر nonce باشد، امکان دور زدن تابع valid_ajax_request – که برای کنترل دسترسی به توابع ajax است – فراهم خواهد بود . این موضوع میتواند برای آپلود کدهای مخرب دلخواه در یک فایل تصویری استفاده شود.
نسخههای آسیبپذیر در این پلاگین: 3.5.0 و ما قبل آن
آسیبپذیری CSRF در پلاگین NextGen Gallery
این آسیب پذیری نیز مانند مورد قبل، با ارسال یک request که بدون پارامتر nonce باشد، امکان دور زدن تابع is_authorized_request که برای کنترل دسترسی به تنظیمات پلاگین است فراهم خواهد بود و این موضوع میتواند برای آپلود کدهای مخرب دلخواه در یک فایل css استفاده شود. در نهایت این حمله میتواند منجر به XSS یا RCE شود.
نسخههای آسیبپذیر در این پلاگین: 3.5.0 و ما قبل آن
آسیبپذیری SQL Injection در پلاگین Ultimate Maps by Supsystic
پارامترهای sidx و sord بدون فیلتر در حال استفاده بودند و این موضوع میتواند منجر به حمله SQL injection شود.
نسخههای آسیبپذیر در این پلاگین: 1.1.17 و ما قبل آن
آسیبپذیری SQL Injection در پلاگین Pricing Table by Supsystic
پارامترهای sidx و sord در هنگام جستجو برای pricing table در داشبورد مدیریتی، بدون فیلتر در حال استفاده بودند و این موضوع میتواند منجر به حمله SQL injection شود.
نسخههای آسیبپذیر در این پلاگین: 1.8.9 و ما قبل آن
آسیبپذیری XSS در پلاگین Pricing Table by Supsystic
پارامترهای label و data در متد POST به درستی فیلتر نشده اند و باعث وجود آسیب پذیری Stored XSS میگردد.
نسخههای آسیبپذیر در این پلاگین: 1.9.0 و ما قبل آن
آسیبپذیری SQL Injection در پلاگین Newsletter by Supsystic
پارامتر sidx در هنگام جستجو برای subscribers در داشبورد مدیریتی، بدون فیلتر در حال استفاده بوده و این موضوع میتواند منجر به حمله SQL injection شود.
نسخههای آسیبپذیر در این پلاگین: 1.5.6 و ما قبل آن
آسیبپذیری SQL Injection در پلاگین Membership by Supsystic
پارامتر sidx در هنگام جستجو برای badges در داشبورد مدیریتی، بدون فیلتر در حال استفاده بودند و این موضوع میتواند منجر به حمله SQL injection شود.
نسخههای آسیبپذیر در این پلاگین: تا این لحظه تمامی نسخههای این پلاگین آسیب پذیرند.
آسیبپذیری XSS در پلاگین Digital Publications by Supsystic
هنگام ایجاد یک مطلب یا ویرایش آن، تمامی مقادیر مانند Area Width و Publication Width دارای آسیبپذیری Stored XSS هستند. دلیل آن هم عدم وجود فیلتر در هنگام دریافت ورودی از کاربر است.
نسخههای آسیبپذیر در این پلاگین: تا این لحظه تمامی نسخههای این پلاگین آسیب پذیرند.
آسیبپذیری Path Traversal در پلاگین Digital Publications by Supsystic
پنجره Folder در قسمت Publications دارای آسیبپذیری path traversal است و امکان افشای برخی اطلاعات را به اشخاصی که اجازه دسترسی به آنها ندارند فراهم میکند.
نسخههای آسیبپذیر در این پلاگین: 1.6.12 و ما قبل آن
آسیبپذیری SQL Injection در پلاگین Data Tables Generator by Supsystic
پارامتر data در هنگام جستجو برای Tables در داشبورد مدیریتی، بدون فیلتر در حال استفاده بوده و این موضوع میتواند منجر به حمله SQL injection شود.
نسخههای آسیبپذیر در این پلاگین: 1.10.0 و ما قبل آن
آسیبپذیری XSS در پلاگین Data Tables Generator by Supsystic
پنجره Editor در قسمت Tables دارای آسیب پذیری Stored XSS است و به دلیل عدم فیلتر ورودیهای دریافتی از کاربر، امکان تزریق کدهای مخرب جاوا اسکریپت وجود خواهد داشت.
نسخههای آسیبپذیر در این پلاگین: 1.10.1 و ما قبل آن
آسیبپذیری SQL Injection در پلاگین Contact Form by Supsystic
پارامترهای sidx و sord در هنگام جستجو برای Forms در داشبورد مدیریتی، بدون فیلتر در حال استفاده بودند. این موضوع میتواند منجر به حمله SQL injection شود.
نسخههای آسیبپذیر در این پلاگین: 1.7.11 و ما قبل آن
آسیبپذیری XSS در پلاگین Contact Form by Supsystic
بخش label در این پلاگین دارای آسیب پذیری Stored XSS است.
نسخههای آسیبپذیر در این پلاگین: 1.7.7 و ما قبل آن
آسیبپذیری Arbitrary File Download and Deletion در پلاگین Backup by Supsystic
این پلاگین فاقد مکانیزمهای امنیتی برای جلوگیری از حمله Path Traversal است و به هکر این امکان را میدهد تا هر فایلی را از وب سرور دانلود یا حذف کند.
همچنین در این پلاگین به دلیل عدم رعایت ملاحظات امنیتی برای مقابله با حمله CSRF، هکر میتواند یک کاربر ادمین را فریب داده و باعث شود تا فایلهای وب سرور را حذف کند.
نسخههای آسیبپذیر در این پلاگین: تا این لحظه تمامی نسخههای این پلاگین آسیب پذیرند.
آسیبپذیری XSS در پلاگین WP Amour
فیلدهای موجود در بخش تنظیمات این پلاگین، ورودیهای دریافتی از کاربر را فیلتر نمیکنند و این موضوع میتواند منجر به حمله Stored XSS شود.
علاوه بر آن، عدم وجود مکانیزمهای امنیتی برای جلوگیری از CSRF، امکان اجرای این حمله بر روی مدیران وجود خواهد داشت.
نسخههای آسیبپذیر در این پلاگین: 1.5.7 و ما قبل آن
آسیبپذیری SQL Injection در پلاگین Welcart e-Commerce
پارامتر search[order_column][0] در صفحه wp-admin/admin.php?page=usces_orderlist در این پلاگین دارای آسیبپذیری SQL Injection است.
نسخههای آسیبپذیر در این پلاگین: 2.1.1 و ما قبل آن
آسیبپذیری Information Disclosure در پلاگین Paid Membership Pro
عملیات AJAX در قسمت pmpro_get_order_json به دلیل ضعف در اعتبارسنجی، این امکان را فراهم میکند تا کاربران بتوانند اطلاعات سفارشات (مانند customer name, email addresses و order numbers) را از طریق پارامتر order_id مشاهده کنند.
نسخههای آسیبپذیر در این پلاگین: 2.5.3 و ما قبل آن
آسیبپذیری SSRF در پلاگین Like Button Rating
پلاگین LikeBtn دارای آسیب پذیری SSRF میباشد و بهواسطه آن هکر میتواند اطلاعات حیاتی سرور را مشاهده کند.
نسخههای آسیبپذیر در این پلاگین: 2.6.32 و ما قبل آن
آسیبپذیری Unauthenticated Plugin Settings Export and Import در پلاگین Ultimate GDPR & CCPA Compliance Toolkit
این پلاگین از متد is_admin() برای بررسی مجوزهای دسترسی استفاده کرده و بررسی نمیکند که کاربر، administrator است یا خیر. این موضوع منجر میشود تا کاربران بدون نیاز به احراز هویت بتوانند تنظیمات دلخواه خود را برای پلاگین مربوطه import کنند. برای مثال با این باگ کاربران میتوانند تمام ترافیک را به یک وبسایت دلخواه ریدایرکت کنند.
اگرچه برخی اقدامات جهت رفع این مشکل در نسخه 2.5 انجام شده است، اما به نظر میرسد همچنان این حمله به دلیل عدم وجود CSRF nonce قابل پیاده سازی باشد.
نسخههای آسیب پذیر در این پلاگین: 2.5 و ما قبل آن
آسیبپذیری CSRF در پلاگین Name Directory
این پلاگین دارای نقص امنیتی CSRF است و به هکر این امکان را میدهد تا کاربران ادمین را فریب داده و اقدامات دلخواه خود را انجام دهند.
نسخههای آسیبپذیر در این پلاگین: 1.18 و ما قبل آن
آسیبپذیری CSRF و XSS در پلاگین Contact Form 7 Style
به دلیل عدم وجود فیلتر و مکانیزمهای امنیتی در custom CSS feature، هکر میتواند یک درخواست برای تزریق کدهای مخرب جاوا اسکریپت در سایت ارسال کند. اگر هکر بتواند مدیر سایت را فریب دهد تا بر روی یک لینک یا فایل پیوست کلیک کند، request ارسال شده و تنظیمات CSS تغییر میکند و کدهای مخرب فراخوانی میشوند.
نسخههای آسیبپذیر در این پلاگین: 3.1.9 و ما قبل آن
آسیبپذیری XSS در پلاگین Photo Gallery by 10Web
این پلاگین در متغیر $breadcrumb دارای آسیبپذیری XSS است.
نسخههای آسیبپذیر در این پلاگین: 1.5.68 و ما قبل آن
آسیبپذیری XSS در پلاگین Popup Builder
صفحه تنظیمات All Subscribers دارای آسیب پذیری Reflected XSS است.
نسخههای آسیبپذیر در این پلاگین: 3.74 و ما قبل آن
آسیبپذیری XSS در پلاگین MStore API
این پلاگین قابلیت آن را دارد که فرایند احراز هویت را با استفاده از Sign In With Apple دور بزند.
نسخههای آسیبپذیر در این پلاگین: 3.2.0 و ما قبل آن
آسیبپذیری SQL Injection در پلاگین WP Editor
عدم وجود فیلتر و اعتبارسنجی مناسب در فیلدهای بخش تنظیمات این پلاگین، امکان اجرای حمله Blind SQL Injection در هنگام ذخیره تنظیمات را برا کاربران با سطح دسترسی Admin و بالاتر فراهم میکند.
نسخههای آسیبپذیر در این پلاگین: 1.2.7 و ما قبل آن
آسیبپذیری XSS در پلاگین Ivory Search
صفحه تنظیمات این پلاگین دارای آسیبپذیری Reflected XSS است و به دلیل عدم فیلتر مناسب در پارامترهای آن، امکان اجرای این حمله فراهم خواهد بود.
نسخههای آسیبپذیر در این پلاگین: 4.5.11 و ما قبل آن
آسیبپذیریهای کشف شده در تمهای وردپرس
این ماه فقط آسیبپذیری قالب wyzi را داریم. اگر از این قالب استفاده میکنید بخش بعدی را بخوانید.
آسیبپذیری XSS در تم Wyzi
این تم در قسمت business search دارای آسیپذیری Reflected XSS میباشد.
نسخههای آسیبپذیر در این قالب: 2.6.1 و ما قبل آن
پایان
امنیت یک مساله جدی است؛ اگر از هر کدام از این پلاگینها یا قالب گفته شده استفاده میکنید، هرچه زودتر اقدامات لازم برای رفع باگهای موجود و بستن راههای نفوذ را در دستور کار قرار دهید.
این مقاله را برای سایر دوستانتان که از وردپرس استفاده میکنند و نگران امنیت آن هستند، بفرستید.