Durante una de mis auditorias a plugins para WordPress, he descubierto varias vulnerabilidades del tipo Cross Site Scripting Persintente (XSS) en el plugin All In One Favicon <= 4.6, desarrollado por Arne Franken de Techotronic. Esta vulnerabilidad ya fue reportada y ha sido asociada al CVE-2018-13832.

 

WordPress Plugin CVE-2018-13832

All In One Favicon <= 4.6 – Autenticado Múltiples Cross Site Scripting Persistentes

📅 Vulnerabilidad descubierta por Javier Olmedo el 15/03/2018

💣 Publicada el 10/07/2018

🐛 CVE-2018-13832

🔗 Link del software All In One Favicon

🐞 Versión vulnerable <= 4.6

📥 Instalaciones activas +100,000

 

¿Cómo explotar la vulnerabilidad?

Para explotar esta vulnerabilidad, necesitamos un usuario con permisos de administración, los parámetros vulnerables (8) son los siguientes:

Puede explotarse con los siguientes payloads:

💉 "><img src=a onerror=alert(1)>
💉 "><img src=a onerror=alert(String.fromCharCode(88,83,83))>

 

Prueba de concepto (POC)

 

Timeline

15/03/2018 Informo al desarrollador de la vulnerabilidad (sin contestación) 😥

27/05/2018 Vuelvo a informar la vulnerabilidad por segunda vez (también sin contestación) 😭

08/07/2018 Solicito CVE

10/07/2018 Hago pública la vulnerabilidad

 

Un saludo a todos!! 👋

 


Javier Olmedo

Consultor de Ciberseguridad, Técnico en Sistemas Informáticos y Técnico Superior en Desarrollo de Software, apasionado de la [In]Seguridad Informática.

Deja tu comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.