De National Vulnerability Database van de Amerikaanse overheid heeft gewaarschuwd voor een Stored Cross-Site Scripting-kwetsbaarheid in de populaire Popup Maker-plug-in voor WordPress.

Pop-upbouwer voor WordPress

Er is een kwetsbaarheid ontdekt in de WordPress-plug-in “Popup Maker – Popup for opt-ins, lead gen and more” die op meer dan 700.000 websites is geïnstalleerd.

De Popup Maker-plug-in kan worden geïntegreerd met veel van de meest populaire contactformulieren met functies die zijn ontworpen om conversies in WooCommerce-winkels, aanmeldingen voor e-mailnieuwsbrieven en andere populaire applicaties voor het genereren van leads te stimuleren.

Hoewel de plug-in pas sinds 2021 bestaat, heeft hij een fenomenale groei doorgemaakt en meer dan 4.000 vijfsterrenrecensies verzameld.

Beveiligingslek in pop-upmaker

De kwetsbaarheid die deze plug-in treft, wordt opgeslagen cross-site scripting (XSS) genoemd. Het wordt “opgeslagen” genoemd omdat een kwaadaardig script naar de website wordt geüpload en op de server zelf wordt opgeslagen.

XSS-kwetsbaarheden treden over het algemeen op wanneer een invoer niet opschoont wat wordt geladen. Overal waar een gebruiker gegevens kan invoeren, kan het kwetsbaar worden, er is een gebrek aan controle over wat er kan worden geüpload.

Dit specifieke beveiligingslek kan optreden wanneer een aanvaller die de inloggegevens kan verkrijgen van een gebruiker met ten minste één toegangsniveau voor bijdragers, de aanval initieert.

De National Vulnerability Database van de Amerikaanse overheid beschrijft de reden voor de kwetsbaarheid en hoe een aanval kan plaatsvinden:

“De Popup Maker WordPress-plug-in vóór 1.16.9 valideert of ontsnapt niet aan een van zijn shortcode-attributen, waardoor gebruikers met een rol zo laag als bijdrager scriptaanvallen kunnen uitvoeren tussen opgeslagen locaties”.

Een officieel changelog gepubliceerd door de auteur van de plug-in stelt dat de exploit iemand met toegang op bijdragersniveau in staat stelt JavaScript uit te voeren.

Het changelog van de Popup Maker-plug-in voor V1.16.9 merkt op:

“Beveiliging: gepatchte XSS-kwetsbaarheid waardoor bijdragers ongefilterde JavaScript kunnen uitvoeren” .

Beveiligingsbedrijf WPScan (eigendom van Automattic) heeft een proof of concept gepubliceerd dat laat zien hoe de exploit werkt.

“Zet als bijdrager de volgende shortcode op een bericht/pagina

[pum_sub_form name_field_type=”fullname” label_name=”Name” label_email=”Email” label_submit=”Subscribe” placeholder_name=”Name” placeholder_email=”Email” form_layout=”block” form_alignment=”center” form_style=”default” privacy_consent_enabled=”yes” privacy_consent_label=”Notify me about related content and special offers.” privacy_consent_type=”radio” privacy_consent_radio_layout=”inline” privacy_consent_yes_label=”Yes” privacy_consent_no_label=”No” privacy_usage_text=”If you opt in above we use this information send related content, discounts and other special offers.” redirect_enabled redirect=”javascript:alert(/XSS/)”]

De XSS wordt geactiveerd bij het bekijken/bekijken van het bericht/de pagina en het indienen van het formulier”

Hoewel er geen beschrijving is van hoe erg de exploit kan zijn, kunnen opgeslagen XSS-kwetsbaarheden over het algemeen ernstige gevolgen hebben, waaronder volledige overname van de site, openbaarmaking van gebruikersgegevens en het installeren van Trojaanse paardenprogramma’s.

Er zijn daaropvolgende updates geweest sinds de originele patch werd uitgebracht voor versie 1.16.9, waaronder een recentere update die een bug verhelpt die met de beveiligingspatch was geïntroduceerd.

De meest recente versie van de Popup Maker-plug-in is V1.17.1.

Uitgevers die de plug-in hebben geïnstalleerd, moeten overwegen om naar de nieuwste versie te upgraden.

Citaties

Lees de melding van de National Vulnerability Database van de Amerikaanse overheid:

CVE-2022-4381 Detail

Lees de WPScan-kennisgeving

Popup Maker < 1.16.9 - Contributor + XSS opgeslagen via abonnementsformulier

Uitgelichte afbeelding door Shutterstock/Asier Romero

Source link