Vulnerabilità Popup Maker; se lo usi il tuo sito è in pericolo
Il plug-in WordPress Popup Maker corregge una vulnerabilità XSS
Aggiorna subito Popup Maker ed evita un attacco XSS
La vulnerabilità CVE-2022-4381 consente a un utente malintenzionato di caricare JavaScript dannoso sul server
Il National Vulnerability Database del governo degli Stati Uniti ha emesso un avviso riguardo una vulnerabilità di Stored Cross-Site Scripting nel popolare plug-in Popup Maker per WordPress identificata dal codice CVE-2022-4381.
Popup Maker per WordPress
Il plug-in Popup Maker, installato in oltre 700.000 siti web basati sul cms Wordpress, si integra con molti dei moduli di contatto più popolari con funzionalità progettate per generare conversioni nei negozi WooCommerce, iscrizioni a newsletter via e-mail e altre applicazioni popolari.
Sebbene il plug-in sia in circolazione solo dal 2021, ha registrato una crescita fenomenale e ha ottenuto oltre 4.000 recensioni a cinque stelle.
La vulnerabilità di Popup Maker
La vulnerabilità che interessa questo plug-in si chiama stored cross-site scripting (XSS). Dove la parola "stored", cioè archiviato, identifica il fatto che uno script dannoso viene caricato sul sito web e archiviato sul server stesso.
Le vulnerabilità XSS generalmente si verificano quando un input non riesce a filtrare ciò che viene caricato. Qualsiasi elemento del sito che permette ad un utente di inserire dati può diventare vulnerabile se c'è una mancanza di controllo sul suo contenuto.
In questo caso specifico, l'attacco può iniziare quando un attaccante riesce ad ottenere le credenziali di un utente che ha un livello di accesso al sito almeno come contributore.
Questo perché, come descritto nel report del database nazionale delle vulnerabilità del governo degli Stati Uniti, il plug-in WordPress Popup Maker prima della versione 1.16.9 non controlla uno dei suoi attributi shortcode e questo consente agli utenti con un ruolo basso come quello collaboratore di eseguire attacchi di stored cross-site scripting.
Nel registro ufficiale delle modifiche di Popup Maker, in un post pubblicato dall'autore del plug-in, viene confermato il fatto che l'exploit consente ad un utente, con accesso di tipo collaboratore, di eseguire codice JavaScript.
Security: Patched XSS vulnerability allowing contributors to run unfiltered JavaScript.
La società di sicurezza WPScan, di proprietà di Automattic, ha pubblicato un proof of concept che mostra come funziona l'exploit:
As a contributor, put the following shortcode in a post/page
[pum_sub_form name_field_type="fullname" label_name="Name" label_email="Email" label_submit="Subscribe" placeholder_name="Name" placeholder_email="Email" form_layout="block" form_alignment="center" form_style="default" privacy_consent_enabled="yes" privacy_consent_label="Notify me about related content and special offers." privacy_consent_type="radio" privacy_consent_radio_layout="inline" privacy_consent_yes_label="Yes" privacy_consent_no_label="No" privacy_usage_text="If you opt in above we use this information send related content, discounts and other special offers." redirect_enabled redirect="javascript:alert(/XSS/)"]
The XSS will be triggered when previewing/viewing the post/page and submitting the form
Sebbene non vi sia ancora una valutazione del grado di severità della vulnerabilità, in generale, le vulnerabilità stored XSS possono avere gravi conseguenze, tra cui l'acquisizione completa del sito, l'esposizione dei dati degli utenti e l'installazione di trojan nel server vittima.
Azioni consigliate
Attualmente le versione più recente del plug-in Popup Maker è la V1.17.1. Considerando che la vulnerabilità è stata risolta nella V1.16.9 e che ci sono stati aggiornamenti successivi, incluso uno più recente che corregge un bug introdotto con la patch di sicurezza, il consiglio scontato è quello di aggiornare il plug-in Popup Maker alla versione più recente.
Fonti
- https://github.com/PopupMaker/Popup-Maker/blob/master/CHANGELOG.md
- https://nvd.nist.gov/vuln/detail/CVE-2022-4381
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-4381
- https://wpscan.com/vulnerability/8bf8ebe8-1063-492d-a0f9-2f824408d0df
- https://attack.mitre.org/techniques/T1189
Author: Fantantonio
Date: 03-01-2023
Categories: cyber security