พบว่าปลั๊กอิน WPForms เวอร์ชัน 1.5.8.2 และต่ำกว่านั้นมีความเสี่ยงต่อการตรวจสอบสิทธิ์ XSS ที่จัดเก็บไว้ในขณะที่ฉันกำลังตรวจสอบปลั๊กอิน WPForms เวอร์ชัน 1.5.9 พร้อมการปรับปรุงการล้างข้อมูลออกเมื่อวันที่ 5 มีนาคม 2020
รหัส CVE: CVE-2020-10385
สรุป
WPForms เป็นปลั๊กอิน WordPress ยอดนิยมที่มีการติดตั้งมากกว่า 3 ล้านครั้ง พบว่ามีความเสี่ยงต่อช่องโหว่ของ Cross-Site Scripting (XSS) ที่ผ่านการตรวจสอบสิทธิ์ XSS เป็นช่องโหว่ประเภทหนึ่งที่ผู้โจมตีสามารถใช้ประโยชน์จากการกระทำที่เป็นอันตรายต่างๆ เช่น ขโมยคุกกี้เซสชันของเหยื่อหรือข้อมูลรับรองการเข้าสู่ระบบ ดำเนินการตามอำเภอใจในนามของเหยื่อ บันทึกการกดแป้นพิมพ์ และอื่นๆ
ช่องโหว่
คำอธิบายแบบฟอร์ม และ คำอธิบายฟิลด์ ฟิลด์ในโมดูล Form Builder ของปลั๊กอิน WPForms พบว่ามีความเสี่ยงต่อ XSS ที่จัดเก็บไว้ เนื่องจากไม่ได้ฆ่าเชื้อผู้ใช้ที่ได้รับข้อมูลอย่างถูกต้อง
แม้ว่าจะไม่ก่อให้เกิดภัยคุกคามด้านความปลอดภัยสูงเนื่องจากเป็นช่องโหว่ XSS ที่ตรวจสอบความถูกต้องแล้ว เราสามารถยืนยันได้ว่าผู้โจมตีสามารถใช้ประโยชน์จากสิ่งเหล่านี้เพื่อดำเนินการที่เป็นอันตรายในการติดตั้งหลายไซต์ของ WordPress เพื่อให้ส่งคุกกี้ของผู้ดูแลระบบขั้นสูงไปยังผู้โจมตีหรือเปลี่ยนเส้นทาง ผู้ดูแลระบบขั้นสูงในโดเมนอื่น เช่น หน้าฟิชชิ่งที่ออกแบบมาเพื่อแสดงว่าพวกเขาออกจากระบบแล้วและจะต้องเข้าสู่ระบบใหม่ ซึ่งจะทำให้ข้อมูลประจำตัวของพวกเขาลดลง
นอกจากนี้เรายังพบว่าฟังก์ชัน "ดูตัวอย่าง" ของเครื่องมือสร้างแบบฟอร์มมีความเสี่ยงที่จะสะท้อน XSS ด้วยเช่นกัน
ไทม์ไลน์
รายงานช่องโหว่ไปยังทีม WPForms เมื่อวันที่ 18 กุมภาพันธ์ 2020
WPForms เวอร์ชัน 1.5.9 ที่มีการแก้ไขช่องโหว่เผยแพร่เมื่อวันที่ 5 มีนาคม 2020
คำแนะนำ
ขอแนะนำอย่างยิ่งให้อัปเดตปลั๊กอินเป็นเวอร์ชันล่าสุด สำหรับแนวทางปฏิบัติด้านความปลอดภัยที่ดีที่สุด คุณสามารถทำตามคำแนะนำด้านล่าง:
- คู่มือความปลอดภัย WordPress
- WordPress Hack และการกำจัดมัลแวร์
ข้อมูลอ้างอิง
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-10385
- https://wpvulndb.com/vulnerabilities/10114
- บันทึกการเปลี่ยนแปลง WPForms
