Приложение для захвата файлов cookie могло бы помочь пользователям XSS

Популярный поставщик плагинов WordPress, отвечающий требованиям GDPR, исправил уязвимость, которая делала посетителей сайта и администраторов уязвимыми для атак межсайтового скриптинга (XSS), использующих файлы cookie.

Плагин GDPR CookieConsent, созданный WebToffee, использует более 700 000 пользователей. Плагин - это приложение для уведомлений, которое просит вас принять куки при первом посещении сайта WordPress. Владельцы веб-сайтов используют такие инструменты, чтобы оставаться совместимыми с GDPR, который указывает на файлы cookie в качестве формы онлайн-идентификатора и, следовательно, в соответствии с правилами согласия.

В то время как плагин GDPR CookieConsent спрашивает вас, не возражаете ли вы принимать куки, он не спрашивает вас, не хотите ли вы вместе с ними и порцию XSS. До этой недели посетители сайта, содержащие плагин, могли быть уязвимы.

Недостаток - возможность атаки XSS и повышение привилегий в версиях 1.82 и более ранних, говорится в сообщении в блоге TheNinjaTechnologies Network, которая продает брандмауэры веб-приложений для защиты сайтов WordPress.

Согласно Wordfence, причиной уязвимости была конечная точка AJAX, используемая в разделе администрирования плагина (AJAX использует JavaScript и XML для обеспечения функциональности веб-страницы). Это предоставляет подписчикам блога три функции, которые должны были быть доступны только администраторам: get_policy_pageid, autosave_contant_data («contant» - опечатка в самом коде) и save_contentdata. Первый просто возвращает идентификатор сообщения для страницы политики куки-файлов плагина и не очень важен, прокомментировали в  Wordfence.

Второй определяет стандартный контент для этой страницы и является более тревожным. Поскольку HTML не отфильтрован, злоумышленник может изменить его, чтобы он содержал код JavaScript. Это означает, что они могли бы использовать его для доставки полезной нагрузки XSS любому пользователю, который просматривал ее на своей странице / cli-policy-preview / page.

Третья функция создает или обновляет сообщение, в котором пользователи получают ошибку при принятии политики использования файлов cookie при посещении сайта. Злоумышленники могут изменить post_id, который предоставляет эта функция, чтобы изменить текст любого сообщения, но при этом устанавливается статус сообщения черновиком, скрывая его от обычных подписчиков. Это все еще оставляет его видимым для редакторов, администраторов и автора поста. Следовательно, злоумышленник может использовать измененный пост, чтобы смонтировать XSS-атаку на одного из этих привилегированных пользователей.

Делать это требует еще одного скучного труда, объясняет Wordfence. WordPress использует белый список разрешенных тегов HTML при редактировании контента, который удаляет вредоносный код, такой как полезные данные XSS. Тем не менее, плагин позволяет шорткоды. Это команды, похожие на макросы, заключенные в квадратные скобки, которые блоги WordPress и их плагины интерпретируют как ярлыки для включения расширенного текста, такого как галереи изображений и видео.

Используя функцию шорткода в плагине, злоумышленник может поразить администратора сайта атакой XSS. Злоумышленники также могут вставлять форматированный текст, гиперссылки и удаленные изображения, пояснил NinjaTechnologies.

Что делать

По словам Wordfence, ошибка имеет оценку CVSS 9,0, что делает ее критической, хотя на момент написания не было назначенного номера CVE.

WebToffee выпустил обновленную версию 1.83, и любые администраторы должны немедленно исправить их развертывание.