کشف دو نقص امنیتی در پلاگین Download Manager وردپرس

اکسپلویت وردپرس

محققین تیم Wordfence یک آسیب‌پذیری با شناسه CVE-2021-34639 را در پلاگین Download Manager وردپرس کشف کرده‌اند. این آسیب‌پذیری در پیکربندی‌های خاصی به مهاجمان امکان اجرای کدهای دلخواه را می‌دهد. این نقص امنیتی به نویسندگان وبسایت و دیگر کاربران اجازه می‌دهد با استفاده از قابلیت upload_files، فایل‌های با پسوند php4 و دیگر فایل‌های قابل اجرا را آپلود کنند.

در تحلیل منتشرشده توسط Worldfence آمده است:

«قبل از یافته‌های ما، پلاگین Download Manager وردپرس یک آسیب‌پذیری را پچ کرده بود که به نویسندگان و دیگر کاربران اجازه می‌داد با استفاده از قابلیت upload_files فایل‌های با پسوند php4 و دیگر فایل‌های با قابلیت اجراشدن را آپلود کنند. با وجود این که پچ ذکرشده برای حفاظت از پیکربندی‌های زیادی کافی است، این پچ فقط آخرین پسوند فایل را چک می‌کند، به همین خاطر هنوز امکان انجام حمله «Double Extension» با آپلود یک فایل با چند پسوند پشت سر هم وجود دارد. برای مثال، می‌توان یک فایل را با عنوان info.php.png آپلود کرد. این فایل روی برخی از پیکربندی‌های خاص Apache/mod_php که از دایرکتیوهای AddHandler یا AddType استفاده می‌کنند امکان اجرا دارد.»

با شرکت در دوره‌های جامع بازار کار امنیت و تست نفوذ وب، به جامعه کارشناسان امنیت بپیوندید:

پلاگین نسبت به حمله‌ی double extension آسیب‌پذیر بوده که زمانی اتفاق می‌افتد که مهاجمان یک فایل را با چندین پسوند متفاوت ثبت می‌کنند تا بتوانند آن را از فیلترها و چک‌های امنیتی عبور داده و در نهایت اجرا کنند.

کارشناسان اشاره کرده‌اند که اگرچه امتیاز CVSS این آسیب‌پذیری 7.5 (بالا) است، اکسپلویت آن ساده نیست؛ چون در یک سناریوی واقعی حمله، به خاطر استفاده از یک فایل .htaccess در دایرکتوری downloads، اجرای فایل‌های آپلودشده دشوار است.

این آسیب‌پذیری مربوط به نسخه‌های پیش از 3.1.24 از پلاگین Download Manager وردپرس است. تیم توسعه پلاگین در ماه می این آسیب‌پذیری را برطرف کرده‌اند.

تیم توسعه یک مشکل دایرکتوری تراورسال (Directory Traversal) را نیز با شناسه CVE-2021-34-638 (با نمره CVSS معادل 6.5) برطرف کرده‌اند. یک کاربر با دسترسی پایین (مثلا یک کاربر مشارکت‌کننده یا Contributer) با استفاده از این آسیب‌پذیری می‌تواند یک دانلود جدید اضافه کرده و سپس با انجام یک حمله دایرکتوری تراورسال با استفاده از پارامتر file[page_template]، محتوای فایل wp-config.php یک وبسایت را به دست آورد.

یک مهاجم با استفاده از این نقص امنیتی می‌‎تواند با به‌دست‌آوردن اطلاعات ورود دیتابیس وبسایت یا با اجرای کد جاوااسکریپت مخرب در سشن مرورگر یک ادمین، کنترل وبسایت را به دست بگیرد.

در ادامه گزارش Worldfence آمده است:

«از آن‌جایی که محتویات فایل واردشده در پارامتر file[page_template] در سورس‌کد صفحه ظاهر می‌شوند، یک کاربر با مجوزهای سطح نویسنده نیز می‌تواند یک فایل با پسوند تصویر [مثل png] و حاوی کدهای جاوااسکریپت مخرب را آپلود کند و آدرس فایل آپلودشده را محتوای file[page_template]  قرار دهد. با این کار هربار که از صفحه بازدید شود یا پیش‌نمایش صفحه نمایش داده شود، کد جاوااسکریپت اجرا شده و منجر به حمله Stored XSS می‌شود. به همین خاطر، و علی‌رغم این که امتیاز CVSS این آسیب‌پذیری فقط 6.5 است، می‌توان با استفاده از آن اطلاعات ورود دیتابیس را به دست آورد یا کد جاوااسکریپت مخرب را در سشن مرورگر یک ادمین اجرا کرد و کنترل وبسایت را به دست گرفت.»

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.