Es va descobrir que Smash Balloon Social Post Feed, un complement de WordPress, tenia una vulnerabilitat que exposava els llocs web a permetre que un atacant pengés scripts maliciosos. Els investigadors de seguretat de Jetpack van descobrir la vulnerabilitat i van notificar als editors de complements, i van llançar una versió fixa, la versió 4.0.1. Les versions anteriors a aquesta són vulnerables.
Feed de publicacions socials de Smash Balloon
El connector de WordPress Smash Balloon Social Post Feed agafa els canals de Facebook i els converteix en publicacions en un lloc de WordPress.
La versió gratuïta del connector està dissenyada per mostrar publicacions de Facebook d’una manera que coincideixi amb l’aspecte del lloc web en que es publica el contingut de Facebook. La versió “pro” de pagament també torna a publicar imatges, vídeos i comentaris.
S’emmagatzema Cross‑Site Scripting mitjançant l’actualització de la configuració arbitrària
Un exploit d’scripting cross-site emmagatzemat (XSS emmagatzemat) és una forma de vulnerabilitat de scripting entre llocs que permet a un atacant maliciós carregar i emmagatzemar permanentment scripts nocius al propi servidor.
“Els atacs emmagatzemats són aquells en què l’script injectat s’emmagatzema permanentment als servidors de destinació, com ara una base de dades…
Aleshores, la víctima recupera l’script maliciós del servidor quan sol·licita la informació emmagatzemada.
Falten les validacions de privilegis i de nonce
L’avís de seguretat publicat per Jetpack va anunciar que el connector de WordPress Smash Balloon Social Post Feed tenia dos problemes de seguretat que van fer que es convertís en un problema de seguretat. Faltaven els les validacions de privilegis i Nonce.
Els atacs XSS normalment es poden produir allà on hi hagi una manera de pujar o introduir alguna cosa a un lloc de WordPress. Pot ser mitjançant un formulari, en comentaris, allà on un usuari pugui introduir dades.
Se suposa que un complement de WordPress protegeix el lloc realitzant comprovacions, entre elles una comprovació de quin nivell de privilegis té un usuari (subscriptor, editor, administrador).
Sense una comprovació de privilegis adequada, un usuari del nivell més baix, com un subscriptor, pot dur a terme accions que normalment requereixen els nivells d’accés més alts, com ara privilegis de nivell d’administrador.
Un nonce és un testimoni de seguretat d’un sol ús que està destinat a protegir les entrades dels atacs.
“Si el vostre tema permet als usuaris enviar dades; ja sigui a l’Administrador o al front-end; noces es pot utilitzar per verificar que un usuari té la intenció de realitzar una acció i és fonamental per protegir contra la falsificació de sol·licituds entre llocs (CSRF).
Un exemple és un lloc de WordPress en què els usuaris autoritzats poden penjar vídeos”.
Jetpack va identificar una vulnerabilitat al connector Smash Balloon que no va poder realitzar les comprovacions de privilegis i nonce, cosa que va obrir el lloc per atacar.
Jetpack va descriure la manera com la vulnerabilitat va exposar els llocs web:
“L’acció AJAX wp_ajax_cff_save_settings, que s’encarrega d’actualitzar la configuració interna del connector, no va realitzar cap comprovació de privilegis o nonce abans de fer-ho. Això va fer possible que qualsevol usuari que iniciés sessió cridés aquesta acció i actualitzés qualsevol de les configuracions del connector.
Malauradament, una d’aquestes configuracions, customJS, permet als administradors emmagatzemar JavaScript personalitzat a les publicacions i pàgines del seu lloc. Actualitzar aquesta configuració és tot el que hauria fet falta perquè un mal actor emmagatzemés scripts maliciosos al lloc”.
El registre de canvis del complement de Smash Balloon Social Post Feed de WordPress, que registra el que conté cada actualització de versió, assenyala correctament que s’ha solucionat un problema de seguretat.
No només és responsable de solucionar les vulnerabilitats de manera oportuna, com va fer Smash Balloon, sinó que també és responsable d’anotar-ho al registre de canvis, cosa que també va fer Smash Balloon.
El registre de canvis indica:
“Correcció: reforç de la seguretat millorat”.
Captura de pantalla del registre de canvis del canal de publicació social de Smash Balloon
Acció recomanada
Smash Balloon Social Post Feed es va pegar recentment per solucionar l’atac Stored XSS que permet penjar scripts maliciosos.
Jetpack recomana actualitzar el Smash Balloon Social Post Feed a la darrera versió en aquest escrit, que és la versió 4.0.1. Si no ho feu, pot ser que la instal·lació de WordPress sigui insegura.
Citacions
Assessorament de seguretat Jetpack
Problemes de seguretat corregits al connector de feed de publicacions socials de Smash Balloon
