Durante otra de mis auditorias a plugins para WordPress, he descubierto varias vulnerabilidades del tipo Cross Site Scripting Reflejado (XSS) en el plugin Multi Step Form <= 1.2.5, desarrollado por Mondula GmbH. Esta vulnerabilidad ya fue reportada y ha sido asociada al CVE-2018-14430.
WordPress Plugin CVE-2018-14430
Multi Step Form <= 1.2.5 – Múltiples Cross Site Scripting Reflejados
Multi Step Form es un plugin para WordPress que nos permite crear formularios del tipo Drag & Drop (arrastrar y soltar) de forma rápida e intuitiva con aspecto agradable. Los formularios se pueden incrustar en cualquier página o publicación con códigos abreviados.
📅 Vulnerabilidad descubierta por Javier Olmedo el 15/06/2018
💣 Publicada el 20/07/2018
🔗 Link del software Multi Step Form
🐞 Versión vulnerable <= 1.2.5
📥 Instalaciones activas +6,000
Vector de ataque / Criticidad de la explotación
CRITICIDAD – ALTA
A través de las vulnerabilidades Cross Site Scripting Reflejadas (XSS), un atacante podría inyectar código javascript malicioso en el navegador de la víctima con el objetivo de robar información delicada, realizar acciones sin el consentimiento del usuario legítimo, secuestrar sesiones de usuario o, incluso, llegar a comprometer todo el sistema si la versión del navegador tiene otras vulnerabilidades críticas asociadas.
Parámetros vulnerables
Los siguientes parámetros, son vulnerables a ataques XSS Reflejados en la función fw_send_data :
fw_data[id][1] fw_data[id][2] fw_data[id][3] fw_data[id][4] email
Puede explotarse con el siguiente payload:
💉 <script>alert('PoC CVE-2018-14430')</script>
Prueba de concepto (PoC)
Timeline
15/06/2018 Informo al desarrollador de la vulnerabilidad (sin contestación) 😥
27/06/2018 Vuelvo a informar la vulnerabilidad por segunda vez (también sin contestación) 😭
19/07/2018 Solicito CVE
20/07/2018 Hago pública la vulnerabilidad
Referencias
CCN CERT – https://www.ccn-cert.cni.es/component/vulnerabilidades/view/24249.html
CVE-MITRE – https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-14430
CVE Details – https://www.cvedetails.com/cve/CVE-2018-14430/
NIST – https://nvd.nist.gov/vuln/detail/CVE-2018-14430
WPScan Vulnerability Database – https://wpvulndb.com/vulnerabilities/9106
CX Security – https://cxsecurity.com/cveshow/CVE-2018-14430/
Packet Storm – https://packetstormsecurity.com/files/148617/WordPress-All-In-One-Favicon-4.6-Cross-Site-Scripting.html
Un saludo a todos!! 👋
Hola, estoy probando este exploit pero no veo como esto afectaria a otro usuario, sabes si la informacion mandada se guarda en algun parte donde el admin pueda abrir y el codigo corra en su propio browser?
Buenas José Carlos,
Puedes explotar esta vulnerabilidad mediante Cross-Site Request Forgery (CSRF).
Saludos!