Especialistas da empresa de segurança WebArx divulgaram vulnerabilidades nos plugins WP Time Capsule e InfiniteWP, ambos corrigidos no início deste mês pela Revmakx.
As falhas nos plugins WP Time Capsule e InfiniteWP WordPress podem ser exploradas de forma a que um criminosos fique com total controlo do website.
“we found that the InfiniteWP Client and WP Time Capsule plugins also contain logical issues in the code that allows you to login into an administrator account without a password.” reads the security advisory published by the experts.
Os plug-ins são afetados por problemas lógicos que podem permitir que os invasores efetuem login como administradores sem fornecer nenhuma credencial.
Sistemas de segurança como firewalls podem não conseguir detectar a tentativa de exploração desses problemas, porque as vulnerabilidades de bypass geralmente são erros lógicos no código e não envolvem a execução de payloads aparentemente suspeitos.
O InfiniteWP permite que os utilizadores possam gerir um número ilimitado de sites WordPress a partir de seu próprio servidor. Há uma estimativa de 300.000 instalações deste plugin agora vulnerável.
Em detalhe, o invasor pode desencadear a vulnerabilidade ao enviar uma solicitação HTTP POST com o payload escrita primeiro em JSON e depois codificado em Base64.
A solicitação ignorará o requisito da palavra-passe e efetuará login apenas com o nome de utilizador de uma conta existente. Tudo o que os invasores precisam saber é o nome de utilizador de um administrador no site WordPress tipicamente obtido através de ferramentas de enumeração.
“The issue resides in the function iwp_mmb_set_request which is located in the init.php file. This function checks if the request_params variable of the class IWP_MMB_Core is not empty, which is only populated when the payload meets certain conditions.” continues the analysis.
“In this case, the condition is that the iwp_action parameter of the payload must equal readd_site or add_site as they are the only actions that do not have an authorization check in place. The missing authorization check is the reason why this issue exists.”
As versões do InfiniteWP Client anteriores à 1.9.4.5 são afetadas pela vulnerabilidade.
Por outro lado, o WP Time Capsule é uma ferramenta de backup com cerca de 20.000 instalações. Para explorar a vulnerabilidade, os invasores precisam enviar uma solicitação HTTP POST contendo no corpo da mensagem uma string específica.
Timeline de ambas a vulnerabilidades:
- 07-01-2020 – Reported the vulnerabilities to the developer of both plugins.
- 07-01-2020 – Released protection module to all WebARX customers.
- 08-01-2020 – Developer of the plugin released a new version for both plugins.
- 14-01-2020 – Security advisory publicly released.
Caso possua uma website ou servidor com estes dois plugins instalados e em execução, efetue de imediato a atualização dos plugins para evitar acessos não autorizados ao seu sistema.
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.