یک تیر و میلیونها نشان !

زمان مطالعه: 5 دقیقه

این ماه که میخواستم نسخه وردپرس آسیب پذیر رو برای جولای آماده میکردم، متوجه شدم که برای جولای بیش از 1200 پلاگین باید جمع آوری و نصب کنم. خب عدد بزرگی بود. برام جالب بود که چرا با این تعداد پلاگین آسیب پذیر روبرو هستم. با بررسی که کردم متوجه شدم، علت اون کشف یه آسیب پذیری در کتابخونه Freemius WordPress SDK هستش.

این کتابخونه به دلیل اینکه در هزاران پلاگین و تم مورد استفاده قرار گرفته ، در نتیجه آسیب پذیر بودنش، کل اونارو تحت تاثیر قرار میده. لیستی از این پلاگینها رو میتونید اینجا مشاهده کنید.

کتابخونه ی Freemius WordPress SDK ، نسخه های 2.5.9 و قبلتر تر ، در بیش از هزاران افزونه و قالب استفاده شده و تخمین میزنن این پلاگین ها و تم ها ، در بیش از 7 میلیون سایت نصب شده . این کتابخونه بعنوان یه کتابخونه شناخته شده برای ادغام سرویس های Freemius با افزونه ها و قالب ها بکار میره.

خود Freemius هم محبوب ترین پلتفرم تجارت الکترونیک برای فروش افزونه ها و تم های وردپرس هستش که به توسعه دهندگان این امکان رو میده تا به سرعت شروع به فروش و صدور لایسنس برای محصولات خودشون بکنن.

آسیب پذیری CVE-2023-33999 ، از نوع reflected XSS هستش و مهاجم احرازهویت نشده امکان سرقت اطلاعات حساس رو داره . مهاجم میتونه با فریب دادن ادمین یا کاربر با امتیاز بالا برای مشاهده یه URL مخرب، امتیازش رو افزایش بده. این آسیب پذیری به دلیل عدم پاکسازی (sanitization and  escaping) هستش.

آسیب پذیری نسخه های 2.5.9 و پایین تر رو تحت تاثیر قرار میده و در نسخه 2.5.10 و بالاتر ، اصلاح شده. بنابراین اگه توسعه دهنده هستید، حتما نسخه بروز رو اعمال کنید.

 

 

بررسی علت آسیب پذیری :

آسیب پذیری در تابع fs_request_get هستش :

 

 

اگه به کد بالا دقت کنید، این تابع صرفا یه تابع برای گرفتن پارامترهای درخواست هستش. اما نکته ای که هست این تابع در کل کتابخونه بارها مورد استفاده قرار گرفته. یکی از جاهایی که از اون استفاده شده ، تابع dynamic_init هستش :

 

 

در این تابع، fs_request_get( 'purchased_plan' )  و fs_request_get( 'purchase_email' ) ، مستقیما بعنوان ورودی تابع this->_admin_notices->add_sticky ارائه میشن. خود تابع add_sticky هم برای نمایش پیامهای ورودی به عنوان admin notices ، استفاده میشه. اما این کار رو بدون پاکسازی (escaping or sanitization) انجام میده. این اخطارها در پنل ادمین نمایش داده میشه تا زمانیکه کاربر اونو ببنده.

اکثر افزونه ها و قالب هایی که از Freemius استفاده میکنن، بعد از فعالسازی، یه پیامی رو بصورت modal دریافت میکنن برای اینکه میخوان بروزرسانی های امنیتی یا ویژگی های جدید رو دریافت کنن یا نه :

 

 

اگه کاربر این ویژگی رو تایید کنه، یه ایمیل براش ارسال میشه تا فرایند تایید کنه. در این ایمیل یه لینکی هستش که میشه از طریق تابع dynamic_init حمله XSS انجام داد.

اگه کاربر این ویژگی رو نخواد، باز میشه حمله XSS رو از طریق تابع _install_with_new_user انجام داد.

 

 

در این مورد هم ، fs_request_get( 'user_email' ) و fs_request_get( 'support_email_address' ) بدون پاکسازی (escaped or sanitized) مستقیما به تابع $this->set_pending_confirmation ارسال میشن :

 

 

تابع بالا، تابع _add_pending_activation_notice رو با پارامترهای $email و $support_email_address فراخوانی میکنه. در ادامه به نحوه پردازش این دو پارامتر نگاهی میندازیم :

 

 

این دو پارامتر بدون پاکسازی ، در متغیر $formatted_message_args قرار میگیرن. formatted_message_args هم همانند مورد اول، برای نمایش admin notices استفاده میشه:

 

 

محققا اعلام کردن که موارد دیگه ای از تابع fs_request_get رو در بخشهای دیگه ای از کد کتابخونه کشف کردن که بطور بالقوه میتونه XSS رو اجرا کنه. یه نکته دیگه اینکه، توابع dynamic_init و _install_with_new_user میتونن از هر یک از نقاط پایانی WP Admin فعال بشن، بنابراین این یه reflected XSS هستش.

 

اصلاحیه:

همونطور که بالا گفته شد، این آسیب پذیری در نسخه ی 2.5.10 اصلاح شده. نحوه اصلاح هم اینجوری بوده که از sanitize_text_field برای پاکسازی ورودی استفاده کردن.

 

 

 

 

منبع