जब मैं प्लगइन का ऑडिट कर रहा था तब WPForms प्लगइन संस्करण 1.5.8.2 और नीचे प्रमाणित संग्रहीत XSS के लिए असुरक्षित पाया गया। बेहतर डेटा सैनिटाइजेशन के साथ WPForms संस्करण 1.5.9 5 मार्च, 2020 को जारी किया गया था।
सीवीई आईडी: सीवीई-2020-10385
सारांश
WPForms 3 मिलियन से अधिक सक्रिय इंस्टॉलेशन के साथ एक लोकप्रिय वर्डप्रेस फॉर्म प्लगइन है। यह प्रमाणित क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता के प्रति संवेदनशील पाया गया। XSS एक प्रकार की भेद्यता है जिसका उपयोग हमलावरों द्वारा विभिन्न दुर्भावनापूर्ण कार्यों को करने के लिए किया जा सकता है जैसे कि पीड़ित की सत्र कुकीज़ या लॉगिन क्रेडेंशियल चोरी करना, पीड़ित की ओर से मनमानी कार्रवाई करना, उनके कीस्ट्रोक्स को लॉग करना और बहुत कुछ।
भेद्यता
फ़ॉर्म विवरण और फ़ील्ड विवरण WPForms प्लगइन के फॉर्म बिल्डर मॉड्यूल में फ़ील्ड संग्रहीत XSS के लिए असुरक्षित पाए गए, क्योंकि उन्होंने उपयोगकर्ता द्वारा दिए गए इनपुट को ठीक से साफ नहीं किया था।
हालांकि वे एक प्रमाणित XSS भेद्यता होने के कारण उच्च सुरक्षा खतरा उत्पन्न नहीं करते हैं, हम यह पुष्टि करने में सक्षम थे कि हमलावर को सुपर व्यवस्थापक की कुकीज़ भेजने या पुनर्निर्देशित करने के लिए वर्डप्रेस मल्टीसाइट इंस्टॉलेशन पर दुर्भावनापूर्ण कार्रवाई करने के लिए हमलावर द्वारा इनका संभावित रूप से शोषण किया जा सकता है। किसी अन्य डोमेन के लिए सुपर व्यवस्थापक, उदाहरण के लिए, एक फ़िशिंग पृष्ठ जिसे यह दिखाने के लिए डिज़ाइन किया गया है कि वे लॉग आउट हो गए हैं और उन्हें वापस लॉग इन करने की आवश्यकता होगी, इस प्रकार उनकी साख से समझौता होगा।
हम आगे यह पता लगाने में सक्षम थे कि प्रपत्र निर्माता का "पूर्वावलोकन" फ़ंक्शन भी प्रतिबिंबित XSS के लिए असुरक्षित था।
समयरेखा
18 फरवरी, 2020 को WPForms टीम को भेद्यता की सूचना दी गई।
5 मार्च, 2020 को WPForms संस्करण 1.5.9 में भेद्यता को ठीक किया गया था।
सिफारिश
प्लगइन को नवीनतम संस्करण में अपडेट करने की अत्यधिक अनुशंसा की जाती है। सर्वोत्तम सुरक्षा पद्धतियों के लिए, आप नीचे दी गई मार्गदर्शिकाओं का अनुसरण कर सकते हैं:
- वर्डप्रेस सुरक्षा गाइड
- वर्डप्रेस हैक और मैलवेयर हटाना
संदर्भ
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-10385
- https://wpvulndb.com/vulnerabilities/10114
- WPForms Changelog