Recentemente foi publicada uma falha de Cross Site Scripting (XSS) no plugin Live Chat with Facebook Messenger conforme citado em nosso blog parceiro, essa falha está sendo amplamente explorada na internet, visto que está instalado em mais de 30.000 sites WordPress.

A falha:

Por razões de funcionalidade o plugin permite a  alteração de opções na tabela de configurações do WordPress, a wp_options, porém a falta de uma proteção adequada permite que a opção ztb_domainid seja alterada e assim redirecionando o site para outros domínios maliciosos.

Como é possível ver no trecho de código abaixo, as opções wp_ajax_update_zb_fbc_code(para usuários autenticados) e wp_ajax_nopriv_update_zb_fbc_code(para usuários não autenticados),  usam a mesma função “ update_zb_fbc_code“, Assim, permitindo que qualquer usuário (logado ou não) modifique as configurações do plugin.

154 add_action(“wp_ajax_update_zb_fbc_code”, “update_zb_fbc_code”); 155 add_action(“wp_ajax_nopriv_update_zb_fbc_code”, “update_zb_fbc_code”);

Juntando isso ao fato da função insert_zb_fbc_code abaixo não possuir checagem de privilégios para evitar problemas de segurança, a falha pode ser facilmente explorada:

157 function update_zb_fbc_code(){
158	header('Access-Control-Allow-Origin: *');
159   header('Access-Control-Allow-Credentials: true');
160	$domain = addslashes($_REQUEST['domain']);
161	$public_key = addslashes($_REQUEST['access']);
162	$id = intval($_REQUEST['customer']);
163	$zbEmail = addslashes($_REQUEST['email']);
164	if(!isset($domain) || empty($domain)){
165		header("Location: ".admin_url()."admin.php?page=zb_fbc");
166	}else{
167		update_option( 'ztb_domainid', $domain );
168		update_option( 'ztb_access_key', $public_key );
169		update_option( 'ztb_id', $id );
170		update_option( 'ztb_email', $zbEmail );
171		update_option( 'ztb_status_disconnect', 2 );
172		wp_send_json( array(
173			'error' => false,
174			'message' => 'Update Zotabox embedded code successful !' 
175			)
176		);
177	}
178 }

Atualização:

Fizemos o teste na versão 1.4.9 e a falha foi devidamente sanada, sendo assim se você utiliza esse plugin o atualize o mais rápido possível.

Caso esteja com seu site redirecionando e não sabe como resolver entre em contato conosco para ajuda especializada.

O post Vulnerabilidade sendo explorada no plugin fb-messenger-live-chat apareceu primeiro em ETH SECURITY.

O problema está no arquivo social-warfare\lib\utilities\SWP_ Databa se_Migration.php, dentro desse arquivo existe uma varável com o nome $_GET[‘swp_url’] com a função get_file_content do php, que permite a execução de códigos remotamente:

A grande falha aqui está na função is_admin() do wordpress que é utilizada incorretamente, que faz somente a checagem se a url solicitada faz parte da página de admin, não fazendo a validação se o administrador está logado.

Fazendo o teste:

Novamente usei o laboratório local para teste, colocando o exploit e payload em outra maquina para comprovar o acesso não autorizado, como o código permite execução de comandos dentro de arquivos, criei um arquivo txt com a função phpinfo(), segue o resultado:

E se eu quiser o nome da base de dados e outras infromações importantes, basta o invasor usar a imaginação (isso eles tem de sobra), baixar conteúdo, visualizar a senha da base de dados e até inserir usuários no banco de dados, criando outro admin para o site.

Não acaba por ai, temos uma vulnerabilidade de XSS de brinde:

Além da falha citada acima, essa brecha abre caminho para inserir conteúdo no banco de dados com técnicas de Cross Site Scripting, assim como mostrei no post do Yuzo Related Posts

Com a mesma url é utilizado um outro exploit e dessa vez podemos inserir conteúdo no banco de dados e redirecionar o site para domínios maliciosos, não vamos detalhar a vulnerabilidade pois seria um copiar e colar do post relacionado ao related posts.

Solução:

Atualize o plugin o mais rápido possível para a versão acima de 3.5.3 .

Site infectado? Não consegue resolver?

Entre em contato agora com nossa consultoria especializada através do link Remoção de Malware em nosso site.

O post Vulnerabilidades sendo exploradas no plugin Social Warfare apareceu primeiro em ETH SECURITY.