Tysiące witryn WordPress dotkniętych luką w zabezpieczeniach wtyczki
W kolejnym szablonie WordPress odkryto nową poważną lukę. Luka pozwala na wstrzykiwanie kodu na strony, na których działa wtyczka, a także na phishing poprzez cross-site scripting.
Wygląda na to, że nie może minąć ani jeden miesiąc bez pojawienia się nowej luki w zabezpieczeniach wtyczki WordPress. Styczeń nie jest wyjątkiem od tej reguły, z zupełnie nową luką odkrytą przez badaczy w WP HTML Mail – wtyczce WordPress, która pozwala użytkownikom projektować niestandardowe szablony wiadomości e-mail.
Luka w zabezpieczeniach umożliwia wstrzyknięcie kodu
Luka została skodyfikowana pod oznaczeniem CVE-2022-0218 i została pierwotnie odkryta przez Chloe Chamberlain, badaczkę z Wordfence. Wynik CVSS przypisany do usterki wynosi 8,3, co plasuje ją na obszarze o „wysokiej dotkliwości”.
Wada wtyczki WP HTML Mail polega na złej obsłudze tras REST-API używanych przez wtyczkę szablonu poczty. Według Chamberlaina, wtyczka nie zawiera kroku uwierzytelniania, aby uzyskać dostęp do punktu końcowego REST-API. Umożliwiłoby to potencjalnemu napastnikowi swobodny dostęp do motywów szablonu wiadomości e-mail, w tym możliwość wstrzykiwania złośliwego kodu JS, który uruchamiałby się, gdy uprawniony administrator otworzy stronę edytora poczty.
Zakres dostępu, na który pozwala luka, jest nieco przerażający. Potencjalny haker może wstrzyknąć kod backdoora, utworzyć nowych użytkowników z uprawnieniami administratora, skonfigurować przekierowania stron, a nawet użyć wcześniej utworzonych, legalnych szablonów wiadomości e-mail do rozsyłania wiadomości phishingowych przy użyciu marki i nazwy witryny ofiary.
Tysiące stron internetowych trzeba zaktualizować
Raport bezpieczeństwa dotyczący błędu wtyczki wspomina, że wtyczka WP HTML Mail jest kompatybilna z innymi bardzo popularnymi wtyczkami, w tym WooCommerce i Ninja Forms. Według szacunków podatna wtyczka jest zainstalowana na około 20 tysiącach stron internetowych.
Właściciele wszystkich tych stron powinni natychmiast upewnić się, że korzystają z najnowszej, zaktualizowanej wersji WP HTML Mail, która ma naprawioną lukę. W chwili pisania tego tekstu ta wersja to 3.1.