20 000 witryn WordPress podatne przez niebezpieczną wtyczkę REST-API

Wtyczka WordPress WP HTML Mail do spersonalizowanych wiadomości e-mail jest podatna na wstrzykiwanie kodu i phishing z powodu XSS.

Ponad 20 000 witryn WordPress jest podatnych na wstrzykiwanie złośliwego kodu, oszustwa typu phishing i nie tylko w wyniku błędu XSS (cross-site scripting) wykrytego w WordPress Email Template Designer – WP HTML Mail, wtyczka do projektowania niestandardowych wiadomości e-maili.

Nowa luka (CVE-2022-0218, wynik CVSS 8,3) została wykryta przez badaczkę z Wordfence Chloe Chamberland wykryta podatność polega na błędnej konfiguracji w trasach REST-API używanych do aktualizacji szablonu, przez co nie było wymagane zarządzanie hasłami do uwierzytelniania, by uzyskać dostęp do REST-API.

„Każdy użytkownik miał dostęp do punktu końcowego REST-API i mógł zapisać ustawienia motywu wiadomości e-mail lub pobrać ustawienia motywu wiadomości e-mail” – napisała Chamberland. „Atakujący mogą wstrzyknąć złośliwy kod JavaScript do szablonu poczty, który zostanie uruchomiony za każdym razem, gdy administrator witryny uzyska dostęp do edytora poczty HTML”. Oznacza to, że cyberprzestępcy mogą między innymi dodawać nowych użytkowników z poświadczeniami administracyjnymi, wstrzykiwać backdoory, wdrażać przekierowania witryn i używać legalnych szablonów witryn do wysyłania wiadomości phishingowych — nawet do przejmowania witryn.

„W połączeniu z faktem, że luka może zostać wykorzystana przez atakujących bez uprawnień na podatnej stronie, oznacza to, że istnieje duża szansa, że ​​nieuwierzytelniony atakujący może uzyskać dostęp administracyjny użytkownika na stronach z podatną wersją wtyczki po pomyślnym wykorzystaniu podatności, — powiedziała Chamberland.

Wtyczka kompatybilna z WooCommerce, Ninja Forms i Buddy Press

Wtyczka jest obecnie zainstalowana na 20 000 witryn i jest kompatybilna z innymi wtyczkami prowadzonymi przez witryny WordPress z dużymi obserwacjami, takimi jak platforma eCommerce WooCommerce, narzędzie do tworzenia formularzy online Ninja Forms i wtyczka do tworzenia społeczności BuddyPress, podała Chamberland.

„Zalecamy, aby właściciele witryn WordPress natychmiast sprawdzili, czy ich witryna została zaktualizowana do najnowszej dostępnej wersji, która w momencie tej publikacji była wersją 3.1” – dodała Chamberland.

Alert ten pojawił się zaledwie tydzień po tym, jak Risk Based Security opublikowało swoje ustalenia, że ​​liczba luk w zabezpieczeniach wtyczek WordPress wzrosła o trzycyfrowe liczby w 2021 roku.

W tym samym tygodniu zgłoszono trzy wtyczki WordPress z tym samym błędem — narażając 84 000 witryn z dodatkami eCommerce na pełne przejęcie witryn.

Administratorzy witryn WordPress są proszeni przez Chamberland, aby upewnili się, że korzystają z najnowszej wersji, WordPress Email Template Designer — WP HTML Mail w wersji 3.1.

„Jeśli znasz znajomego lub współpracownika, który używa tej wtyczki na swojej stronie, zdecydowanie zalecamy przekazanie im tego ostrzeżenia, aby pomóc chronić ich witryny, ponieważ jest to poważna luka, która może doprowadzić do całkowitego przejęcia witryny” – ostrzegła Chamberland.