CVE-2018-14430 WordPress Plugin Multi Step Form

Durante otra de mis auditorias a plugins para WordPress, he descubierto varias vulnerabilidades del tipo Cross Site Scripting Reflejado (XSS) en el plugin Multi Step Form <= 1.2.5, desarrollado por Mondula GmbH. Esta vulnerabilidad ya fue reportada y ha sido asociada al CVE-2018-14430.

 

WordPress Plugin CVE-2018-14430

Multi Step Form <= 1.2.5 – Múltiples Cross Site Scripting Reflejados

Multi Step Form es un plugin para WordPress que nos permite crear formularios del tipo Drag & Drop (arrastrar y soltar) de forma rápida e intuitiva con aspecto agradable. Los formularios se pueden incrustar en cualquier página o publicación con códigos abreviados.

📅 Vulnerabilidad descubierta por Javier Olmedo el 15/06/2018

💣 Publicada el 20/07/2018

🐛 CVE-2018-14430

🔗 Link del software Multi Step Form

🐞 Versión vulnerable <= 1.2.5

📥 Instalaciones activas +6,000

 

Vector de ataque / Criticidad de la explotación

CRITICIDAD – ALTA

A través de las vulnerabilidades Cross Site Scripting Reflejadas (XSS), un atacante podría inyectar código javascript malicioso en el navegador de la víctima con el objetivo de robar información delicada, realizar acciones sin el consentimiento del usuario legítimo, secuestrar sesiones de usuario o, incluso, llegar a comprometer todo el sistema si la versión del navegador tiene otras vulnerabilidades críticas asociadas.

 

Parámetros vulnerables

Los siguientes parámetros, son vulnerables a ataques XSS Reflejados en la función fw_send_data :

fw_data[id][1]
fw_data[id][2]
fw_data[id][3]
fw_data[id][4]
email

Puede explotarse con el siguiente payload:

💉 <script>alert('PoC CVE-2018-14430')</script>

 

Prueba de concepto (PoC)

 

Timeline

15/06/2018 Informo al desarrollador de la vulnerabilidad (sin contestación) 😥

27/06/2018 Vuelvo a informar la vulnerabilidad por segunda vez (también sin contestación) 😭

19/07/2018 Solicito CVE

20/07/2018 Hago pública la vulnerabilidad

 

Un saludo a todos!! 👋

 


Javier Olmedo

Consultor de Ciberseguridad, Técnico en Sistemas Informáticos y Técnico Superior en Desarrollo de Software, apasionado de la [In]Seguridad Informática.

Deja tu comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.