محققین تیم Wordfence یک آسیبپذیری با شناسه CVE-2021-34639 را در پلاگین Download Manager وردپرس کشف کردهاند. این آسیبپذیری در پیکربندیهای خاصی به مهاجمان امکان اجرای کدهای دلخواه را میدهد. این نقص امنیتی به نویسندگان وبسایت و دیگر کاربران اجازه میدهد با استفاده از قابلیت upload_files، فایلهای با پسوند php4 و دیگر فایلهای قابل اجرا را آپلود کنند.
در تحلیل منتشرشده توسط Worldfence آمده است:
«قبل از یافتههای ما، پلاگین Download Manager وردپرس یک آسیبپذیری را پچ کرده بود که به نویسندگان و دیگر کاربران اجازه میداد با استفاده از قابلیت upload_files فایلهای با پسوند php4 و دیگر فایلهای با قابلیت اجراشدن را آپلود کنند. با وجود این که پچ ذکرشده برای حفاظت از پیکربندیهای زیادی کافی است، این پچ فقط آخرین پسوند فایل را چک میکند، به همین خاطر هنوز امکان انجام حمله «Double Extension» با آپلود یک فایل با چند پسوند پشت سر هم وجود دارد. برای مثال، میتوان یک فایل را با عنوان info.php.png آپلود کرد. این فایل روی برخی از پیکربندیهای خاص Apache/mod_php که از دایرکتیوهای AddHandler یا AddType استفاده میکنند امکان اجرا دارد.»
با شرکت در دورههای جامع بازار کار امنیت و تست نفوذ وب، به جامعه کارشناسان امنیت بپیوندید:
پلاگین نسبت به حملهی double extension آسیبپذیر بوده که زمانی اتفاق میافتد که مهاجمان یک فایل را با چندین پسوند متفاوت ثبت میکنند تا بتوانند آن را از فیلترها و چکهای امنیتی عبور داده و در نهایت اجرا کنند.
کارشناسان اشاره کردهاند که اگرچه امتیاز CVSS این آسیبپذیری 7.5 (بالا) است، اکسپلویت آن ساده نیست؛ چون در یک سناریوی واقعی حمله، به خاطر استفاده از یک فایل .htaccess در دایرکتوری downloads، اجرای فایلهای آپلودشده دشوار است.
این آسیبپذیری مربوط به نسخههای پیش از 3.1.24 از پلاگین Download Manager وردپرس است. تیم توسعه پلاگین در ماه می این آسیبپذیری را برطرف کردهاند.
تیم توسعه یک مشکل دایرکتوری تراورسال (Directory Traversal) را نیز با شناسه CVE-2021-34-638 (با نمره CVSS معادل 6.5) برطرف کردهاند. یک کاربر با دسترسی پایین (مثلا یک کاربر مشارکتکننده یا Contributer) با استفاده از این آسیبپذیری میتواند یک دانلود جدید اضافه کرده و سپس با انجام یک حمله دایرکتوری تراورسال با استفاده از پارامتر file[page_template]، محتوای فایل wp-config.php یک وبسایت را به دست آورد.
یک مهاجم با استفاده از این نقص امنیتی میتواند با بهدستآوردن اطلاعات ورود دیتابیس وبسایت یا با اجرای کد جاوااسکریپت مخرب در سشن مرورگر یک ادمین، کنترل وبسایت را به دست بگیرد.
در ادامه گزارش Worldfence آمده است:
«از آنجایی که محتویات فایل واردشده در پارامتر file[page_template] در سورسکد صفحه ظاهر میشوند، یک کاربر با مجوزهای سطح نویسنده نیز میتواند یک فایل با پسوند تصویر [مثل png] و حاوی کدهای جاوااسکریپت مخرب را آپلود کند و آدرس فایل آپلودشده را محتوای file[page_template] قرار دهد. با این کار هربار که از صفحه بازدید شود یا پیشنمایش صفحه نمایش داده شود، کد جاوااسکریپت اجرا شده و منجر به حمله Stored XSS میشود. به همین خاطر، و علیرغم این که امتیاز CVSS این آسیبپذیری فقط 6.5 است، میتوان با استفاده از آن اطلاعات ورود دیتابیس را به دست آورد یا کد جاوااسکریپت مخرب را در سشن مرورگر یک ادمین اجرا کرد و کنترل وبسایت را به دست گرفت.»
