Smash Balloon Social Post Feed 插件中修补的安全问题
已发表: 2021-10-29在对 Smash Balloon 社交帖子订阅源插件(也称为自定义 Facebook 订阅源)进行内部审计期间,我们发现在易受攻击的网站上拥有帐户的任何用户(如订阅者)都可以访问几个敏感的 AJAX 端点。 其中一些端点可能使存储跨站点脚本 (XSS) 攻击发生。
成功的存储型 XSS 攻击可以使不良行为者在受影响站点的每个帖子和页面上存储恶意脚本。 如果登录的管理员访问受影响的 URL 之一,该脚本可能会在他们的浏览器上运行并代表他们执行管理操作,例如创建新管理员和安装恶意插件。
我们通过电子邮件向该插件的作者报告了这些漏洞,他们最近发布了 4.0.1 版本来解决这些问题。 我们强烈建议您更新到最新版本的 Smash Balloon Social Post Feed 插件,并在您的网站上安装成熟的安全解决方案,例如 Jetpack Security。
细节
插件名称: Smash Balloon Social Post Feed
插件 URI: https://wordpress.org/plugins/custom-facebook-feed/
作者:粉碎气球
作者 URI: https://smashballoon.com/
漏洞
通过任意设置更新存储的跨站点脚本
受影响的版本: < 4.0.1
CVE-ID: CVE-2021-24918
CVSSv3.1: 7.3
CWSS: 80.6
public function cff_save_settings() {
$data = $_POST;
$model = isset( $data[ 'model' ] ) ? $data['model'] : null;
// return if the model is null
if ( null === $model ) {
return;
}
// (...)
$model = (array) \json_decode( \stripslashes( $model ) );
$general = (array) $model['general'];
$feeds = (array) $model['feeds'];
$translation = (array) $model['translation'];
$advanced = (array) $model['advanced'];
// Get the values and sanitize
$cff_locale = sanitize_text_field( $feeds['selectedLocale'] );
$cff_style_settings = get_option( 'cff_style_settings' );
$cff_style_settings[ 'cff_timezone' ] = sanitize_text_field( $feeds['selectedTimezone'] );
$cff_style_settings[ 'cff_custom_css' ] = $feeds['customCSS'];
$cff_style_settings[ 'cff_custom_js' ] = $feeds['customJS'];
$cff_style_settings[ 'gdpr' ] = sanitize_text_field( $feeds['gdpr'] );
$cachingType = sanitize_text_field( $feeds['cachingType'] );
$cronInterval = sanitize_text_field( $feeds['cronInterval'] );
$cronTime = sanitize_text_field( $feeds['cronTime'] );
$cronAmPm = sanitize_text_field( $feeds['cronAmPm'] );
$cacheTime = sanitize_text_field( $feeds['cacheTime'] );
$cacheTimeUnit = sanitize_text_field( $feeds['cacheTimeUnit'] );
// Save general settings data
update_option( 'cff_preserve_settings', $general['preserveSettings'] );
// Save feeds settings data
update_option( 'cff_locale', $cff_locale );
// (...)
// Save translation settings data
foreach( $translation as $key => $val ) {
$cff_style_settings[ $key ] = $val;
}
// Save advanced settings data
$cff_ajax = sanitize_text_field( $advanced['cff_ajax'] );
foreach( $advanced as $key => $val ) {
if ( $key == 'cff_disable_resize' || $key == 'disable_admin_notice' ) {
$cff_style_settings[ $key ] = !$val;
} else {
$cff_style_settings[ $key ] = $val;
}
}
// (...)
update_option( 'cff_ajax', $cff_ajax );
// Update the cff_style_settings option that contains data for translation and advanced tabs
update_option( 'cff_style_settings', $cff_style_settings );
// clear cron caches
$this->cff_clear_cache();
new CFF_Response( true, array(
'cronNextCheck' => $this->get_cron_next_check()
) );
}
负责更新插件内部设置的wp_ajax_cff_save_settings AJAX 操作在执行此操作之前没有执行任何特权或随机数检查。 这使得任何登录用户都可以调用此操作并更新任何插件的设置。
不幸的是,其中一项设置customJS使管理员能够将自定义 JavaScript 存储在其站点的帖子和页面上。 更新此设置是不良行为者在网站上存储恶意脚本所需要的全部内容。
时间线
2021-10-14 – 初次接触 Smash Balloon
2021-10-18 – 我们向他们发送有关这些漏洞的详细信息
2021-10-21 – Smash Balloon Social Post Feed 4.0.1 发布
结论
我们建议您检查您的站点使用的 Smash Balloon Social Post Feed 插件的版本,如果低于 4.0.1,请尽快更新!
在 Jetpack,我们努力确保您的网站免受此类漏洞的影响。 我们建议您为您的站点制定一个安全计划,其中包括恶意文件扫描和备份。 Jetpack Security 是一种出色的 WordPress 安全选项,可确保您的网站和访问者的安全。
学分
原始研究员:马克·蒙帕斯
感谢 Jetpack Scan 团队的其他成员提供反馈、帮助和更正。