Durante una de mis auditorias a plugins para WordPress, he descubierto varias vulnerabilidades del tipo Cross Site Scripting Persintente (XSS) en el plugin All In One Favicon <= 4.6, desarrollado por Arne Franken de Techotronic. Esta vulnerabilidad ya fue reportada y ha sido asociada al CVE-2018-13832.
WordPress Plugin CVE-2018-13832
All In One Favicon <= 4.6 – Autenticado Múltiples Cross Site Scripting Persistentes
📅 Vulnerabilidad descubierta por Javier Olmedo el 15/03/2018
💣 Publicada el 10/07/2018
🐛 CVE-2018-13832
🔗 Link del software All In One Favicon
🐞 Versión vulnerable <= 4.6
📥 Instalaciones activas +100,000
¿Cómo explotar la vulnerabilidad?
Para explotar esta vulnerabilidad, necesitamos un usuario con permisos de administración, los parámetros vulnerables (8) son los siguientes:
Puede explotarse con los siguientes payloads:
💉 "><img src=a onerror=alert(1)> 💉 "><img src=a onerror=alert(String.fromCharCode(88,83,83))>
Prueba de concepto (POC)
Timeline
15/03/2018 Informo al desarrollador de la vulnerabilidad (sin contestación) 😥
27/05/2018 Vuelvo a informar la vulnerabilidad por segunda vez (también sin contestación) 😭
08/07/2018 Solicito CVE
10/07/2018 Hago pública la vulnerabilidad
Referencias
CCN CERT – https://www.ccn-cert.cni.es/seguridad-al-dia/vulnerabilidades/view/24136.html
CVE-MITRE – http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-13832
CVE Details – https://www.cvedetails.com/cve/CVE-2018-13832/
NIST – https://nvd.nist.gov/vuln/detail/CVE-2018-13832
Exploit DB – https://www.exploit-db.com/exploits/45056/
0Day Today – https://es.0day.today/exploits/30752
CX Security – https://cxsecurity.com/cveshow/CVE-2018-13832/
Packet Storm – https://packetstormsecurity.com/files/148617/WordPress-All-In-One-Favicon-4.6-Cross-Site-Scripting.html
Un saludo a todos!! 👋
Hola, estoy realizando una investigación sobre esta vulnerabilidad, pero no encuentra casos o ataques registrados con la misma, me puedes ayudar con información por favor… Gracias…
Hola Mafer,
Está vulnerabilidad es nueva, de todas maneras, el ataque es muy sencillo, lo tienes en la PoC.
Necesitas tener usuario con permisos para explotarla.
Saludos!!