O Email Subscribers & Newsletters é um plug-in de newsletter disponível para o WordPress usado para enviar notificações por post e broadcasts. Ele pode ser integrado com o Mailchimp e o plug-in tem mais de 100.000 instalações ativas no momento.
A equipe do Wordfence Threat Intelligence descobriu várias vulnerabilidades no plug-in que permite que os malfeitores iniciem vários ataques direcionados a instalações vulneráveis.
Vulnerabilidades detetadas por tipo:
- Information Disclosure
- Blind SQL Injection in the INSERT statement
- Insecure Permissions
- Cross-Site Request Forgery on Settings
- Subscriber can send Email from admin Dashboard
- Unauthenticated Option Creation
Information Disclosure
O plug-in tem uma opção para exportar todos os assinantes em um único ficheiro CSV que contém os detalhes fornecidos pelos assinantes, como nomes, sobrenomes, endereços de email e mailing lists.
Esses dados podem ser descarregados apenas pelo administrador do servidor; existe uma falha na versão 4.2.2 do plugin que permite que utilizadores não autenticados possam também expostar os dados.
Severity: CVSS v3.0 Score: 5.8(Medium) and fixed with version 4.2.3.
Blind SQL Injection
O plug-in tem funcionalidade de “tracking” para verificar se vários utilizadores abrem o email, mas existe uma falha no plug-in que permite que “instruções SQL sejam passadas para a base de dados no parametro hash, criando, assim, uma vulnerabilidade blind SQL (para mais detalhe ver a publicação da WordFence).
Severity: CVSS v3.0 Score: 8.3(high) and it has been fixed with version 4.3.1.
Insecure Permissions
Através do dashboard de administração,é possível aceder a configurações como, informações sobre o público, informações sobre campanhas, formulários e muito mais.
Essas opções podem ser acedidas por qualquer utilizador com a permissão edit_post. Via um utilizador com role de colaborador, os temas e os plugins do WordPress têm essa opção e pontanto, é possível um acesso não autorizado.
Severity: CVSS v3.0 Score: 6.3(Medium) and it has been fixed with version 4.2.3.
Cross-Site Request Forgery
O plug-in não tem validações para verificar se a solicitação é proveniente da sessão de administração, isso permite que os invasores modifiquem as configurações via CSRF.
Severity: CVSS v3.0 Score: 6.3(Medium) and it has been fixed with version 4.2.3.
Send Test Emails from the Administrative Dashboard
O plug-in contém opções para enviar a newsletter no modo “teste”. Em detalhe, existe uma vulnerabilidade no plug-in que permite que utilizadores não autenticados enviem e-mails de teste.
Severity: CVSS v3.0 Score: 4.3(Medium) and it has been fixed with version 4.2.3.
Unauthenticated Option Creation
O plugin Email Subscribers & Newsletters possui uma opção de integração que pode ser ignorada após a instalação, se for ignorada, “ela cria uma nova opção na base de dados e salva o valor como sim”.
“Unfortunately, there was no access control for this feature so any unauthenticated user could create this option in the database, which could be appended with any value.”
Estas vulnerabilidades foram reportadas em 14 de outubro e foram resolvidas no dia 13 de novembro de 2019. É recomendado o update do plugin para a versão 4.3.1 a fim de mitigar as falhas.