CVE-2018-13832 WordPress Plugin All In One Favicon <= 4.6 - Autenticado Múltiples Cross Site Scripting Persistentes

Durante una de mis auditorias a plugins para WordPress, he descubierto varias vulnerabilidades del tipo Cross Site Scripting Persintente (XSS) en el plugin All In One Favicon <= 4.6, desarrollado por Arne Franken de Techotronic. Esta vulnerabilidad ya fue reportada y ha sido asociada al CVE-2018-13832.

WordPress Plugin CVE-2018-13832

All In One Favicon <= 4.6 – Autenticado Múltiples Cross Site Scripting Persistentes

📅 Vulnerabilidad descubierta por Javier Olmedo el 15/03/2018

💣 Publicada el 10/07/2018

🐛 CVE-2018-13832

🔗 Link del software All In One Favicon

🐞 Versión vulnerable <= 4.6

📥 Instalaciones activas +100,000

¿Cómo explotar la vulnerabilidad?

Para explotar esta vulnerabilidad, necesitamos un usuario con permisos de administración, los parámetros vulnerables (8) son los siguientes:

Puede explotarse con los siguientes payloads:

💉 "><img src=a onerror=alert(1)>
💉 "><img src=a onerror=alert(String.fromCharCode(88,83,83))>

Prueba de concepto (POC)

Timeline

15/03/2018 Informo al desarrollador de la vulnerabilidad (sin contestación) 😥

27/05/2018 Vuelvo a informar la vulnerabilidad por segunda vez (también sin contestación) 😭

08/07/2018 Solicito CVE

10/07/2018 Hago pública la vulnerabilidad

Referencias

CCN CERT – https://www.ccn-cert.cni.es/seguridad-al-dia/vulnerabilidades/view/24136.html

CVE-MITRE – http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-13832

CVE Details – https://www.cvedetails.com/cve/CVE-2018-13832/

NIST – https://nvd.nist.gov/vuln/detail/CVE-2018-13832

Exploit DB – https://www.exploit-db.com/exploits/45056/

0Day Today – https://es.0day.today/exploits/30752

CX Security – https://cxsecurity.com/cveshow/CVE-2018-13832/

Packet Storm – https://packetstormsecurity.com/files/148617/WordPress-All-In-One-Favicon-4.6-Cross-Site-Scripting.html

Un saludo a todos!! 👋