Durante otra de mis auditorias a plugins para WordPress, he descubierto varias vulnerabilidades del tipo Cross Site Scripting Reflejado (XSS) en el plugin Multi Step Form <= 1.2.5, desarrollado por Mondula GmbH. Esta vulnerabilidad ya fue reportada y ha sido asociada al CVE-2018-14430.

 

WordPress Plugin CVE-2018-14430

Multi Step Form <= 1.2.5 – Múltiples Cross Site Scripting Reflejados

Multi Step Form es un plugin para WordPress que nos permite crear formularios del tipo Drag & Drop (arrastrar y soltar) de forma rápida e intuitiva con aspecto agradable. Los formularios se pueden incrustar en cualquier página o publicación con códigos abreviados.

📅 Vulnerabilidad descubierta por Javier Olmedo el 15/06/2018

💣 Publicada el 20/07/2018

🐛 CVE-2018-14430

🔗 Link del software Multi Step Form

🐞 Versión vulnerable <= 1.2.5

📥 Instalaciones activas +6,000

 

Vector de ataque / Criticidad de la explotación

CRITICIDAD – ALTA

A través de las vulnerabilidades Cross Site Scripting Reflejadas (XSS), un atacante podría inyectar código javascript malicioso en el navegador de la víctima con el objetivo de robar información delicada, realizar acciones sin el consentimiento del usuario legítimo, secuestrar sesiones de usuario o, incluso, llegar a comprometer todo el sistema si la versión del navegador tiene otras vulnerabilidades críticas asociadas.

 

Parámetros vulnerables

Los siguientes parámetros, son vulnerables a ataques XSS Reflejados en la función fw_send_data :

fw_data[id][1]
fw_data[id][2]
fw_data[id][3]
fw_data[id][4]
email

Puede explotarse con el siguiente payload:

💉 <script>alert('PoC CVE-2018-14430')</script>

 

Prueba de concepto (PoC)

 

Timeline

15/06/2018 Informo al desarrollador de la vulnerabilidad (sin contestación) 😥

27/06/2018 Vuelvo a informar la vulnerabilidad por segunda vez (también sin contestación) 😭

19/07/2018 Solicito CVE

20/07/2018 Hago pública la vulnerabilidad

 

Referencias

CCN CERT – https://www.ccn-cert.cni.es/component/vulnerabilidades/view/24249.html

CVE-MITRE – https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-14430

CVE Details – https://www.cvedetails.com/cve/CVE-2018-14430/

NIST – https://nvd.nist.gov/vuln/detail/CVE-2018-14430

WPScan Vulnerability Database – https://wpvulndb.com/vulnerabilities/9106

CX Security – https://cxsecurity.com/cveshow/CVE-2018-14430/

Packet Storm – https://packetstormsecurity.com/files/148617/WordPress-All-In-One-Favicon-4.6-Cross-Site-Scripting.html

 

Un saludo a todos!! 👋

 


Javier Olmedo

Consultor de Ciberseguridad e Investigador de Seguridad de Aplicaciones Web en mi tiempo libre, Técnico en Sistemas Informáticos y Técnico Superior en Desarrollo de Software, apasionado de la [In]Seguridad Informática.

2 commentarios

Jose Carlos Pazos · viernes, 12 octubre, 2018 a las 00:41

Hola, estoy probando este exploit pero no veo como esto afectaria a otro usuario, sabes si la informacion mandada se guarda en algun parte donde el admin pueda abrir y el codigo corra en su propio browser?

    Javier Olmedo · jueves, 18 octubre, 2018 a las 14:35

    Buenas José Carlos,
    Puedes explotar esta vulnerabilidad mediante Cross-Site Request Forgery (CSRF).
    Saludos!

Deja tu comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.