آسیب پذیری افزونه فید فیس بوک وردپرس بیش از 200000 وب سایت را فاش می کند

Smash Balloon Social Post Feed، یک افزونه وردپرس، کشف شد که دارای آسیب‌پذیری است که وب‌سایت‌ها را در معرض اجازه دادن به مهاجم برای آپلود اسکریپت‌های مخرب قرار می‌دهد. محققان امنیتی در Jetpack این آسیب‌پذیری را کشف کردند و به ناشران افزونه که آن را اصلاح کردند و نسخه ثابت نسخه 4.0.1 را منتشر کردند، اطلاع دادند. نسخه های قبل از آن آسیب پذیر هستند.

فید پست اجتماعی Smash Balloon

افزونه Smash Balloon Social Post Feed وردپرس فیدهای فیس بوک را دریافت می کند و آنها را به پست در یک سایت وردپرس تبدیل می کند.

نسخه رایگان این افزونه برای نمایش پست های فیس بوک به گونه ای طراحی شده است که با ظاهر و احساس سایتی که محتوای فیس بوک در آن بازنشر می شود مطابقت داشته باشد. نسخه پولی “pro” نیز تصاویر، ویدیوها و نظرات را بازنشر می کند.

اسکریپت بین سایتی ذخیره شده از طریق به‌روزرسانی تنظیمات دلخواه

یک اکسپلویت Stored Cross-Site Scripting (Stored XSS) شکلی از آسیب‌پذیری برنامه‌نویسی متقابل سایت است که به مهاجم مخرب اجازه می‌دهد تا اسکریپت‌های مضر را در خود سرور آپلود کرده و به طور دائم ذخیره کند.

تو غیر انتفاعی Web Application Security Project را باز کنیدt (OWASP) آسیب پذیری های ذخیره شده XSS را شرح می دهد:

“حملات ذخیره شده آنهایی هستند که اسکریپت تزریق شده به طور دائم در سرورهای هدف ذخیره می شود، مانند یک پایگاه داده ….

سپس قربانی هنگامی که اطلاعات ذخیره شده را درخواست می کند، اسکریپت مخرب را از سرور بازیابی می کند.

چک های امتیازی و غیر از دست رفته است

هشدار امنیتی منتشر شده توسط Jetpack اعلام کرد که افزونه Smash Balloon Social Post Feed وردپرس دارای دو مشکل امنیتی است که باعث تبدیل آن به یک مشکل امنیتی شده است. چک های امتیازی و غیرانسی وجود نداشت.

حملات XSS معمولاً می توانند هر جا که راهی برای آپلود یا وارد کردن چیزی در یک سایت وردپرس وجود دارد اتفاق بیفتد. این می تواند از طریق یک فرم، در نظرات، هر کجا که کاربر می تواند داده ها را وارد کند.

یک افزونه وردپرس قرار است با انجام بررسی هایی از سایت محافظت کند، از جمله بررسی سطح امتیاز یک کاربر (مشترک، ویرایشگر، مدیر).

بدون بررسی امتیاز مناسب، یک کاربر در پایین‌ترین سطح، مانند یک مشترک، می‌تواند اقداماتی را انجام دهد که معمولاً به بالاترین سطوح دسترسی نیاز دارند، مانند امتیازات سطح سرپرست.

nonce یک نشانه امنیتی یک بار مصرف است که برای محافظت از ورودی ها در برابر حملات طراحی شده است.

وردپرس Nیک بار مستندات ارزش nonces را توضیح می دهد:

اگر موضوع شما به کاربران اجازه می دهد داده ها را ارسال کنند. در Admin یا Front-end باشد. nonces می‌تواند برای تأیید اینکه کاربر قصد انجام یک عمل را دارد استفاده می‌شود و در محافظت در برابر جعل درخواست متقاطع (CSRF) مفید است.

به عنوان مثال یک سایت وردپرسی است که در آن کاربران مجاز مجاز به آپلود ویدیو هستند.”

Jetpack یک آسیب‌پذیری را در افزونه Smash Balloon شناسایی کرد که در انجام بررسی‌های امتیازی و غیرعادی شکست خورده بود، که سایت را برای حمله باز کرد.

Jetpack توضیح داد که چگونه این آسیب پذیری وب سایت ها را در معرض دید قرار می دهد:

«عمل wp_ajax_cff_save_settings AJAX، که مسئول به‌روزرسانی تنظیمات داخلی افزونه است، قبل از انجام این کار، هیچ بررسی امتیازی یا غیرمنتظره‌ای انجام نداد. این امکان را برای همه کاربرانی که وارد سیستم شده اند را فراهم می کند تا این اکشن را فراخوانی کنند و هر یک از تنظیمات افزونه را به روز کنند.

متأسفانه یکی از این تنظیمات، customJS، مدیران را قادر می سازد تا جاوا اسکریپت سفارشی را در پست ها و صفحات سایت خود ذخیره کنند. به‌روزرسانی این تنظیمات تنها چیزی است که برای یک بازیگر بدکار باید اسکریپت‌های مخرب را در سایت ذخیره کند.»

لاگ تغییرات افزونه Smash Balloon Social Post Feed وردپرس، که محتوای هر نسخه به‌روزرسانی را ثبت می‌کند، به درستی اشاره می‌کند که یک مشکل امنیتی برطرف شده است.

نه تنها مسئول رفع به موقع آسیب‌پذیری‌ها است، کاری که Smash Balloon انجام داد، بلکه همچنین مسئول است که آن را در تغییرات ثبت کند، کاری که Smash Balloon نیز انجام داد.

تغییرات ثبت شده بیان می کند:

“رفع: تقویت امنیتی بهبود یافته.”

اسکرین شات از تغییرات فید پست اجتماعی Smash Balloon

عمل پیشنهاد شده

فید پست اجتماعی Smash Balloon اخیراً برای رفع حمله ذخیره شده XSS که امکان آپلود اسکریپت های مخرب را فراهم می کند وصله شده است.

Jetpack توصیه می‌کند که فید پست اجتماعی Smash Balloon را به آخرین نسخه که نسخه 4.0.1 است، به‌روزرسانی کنید. عدم انجام این کار ممکن است نصب وردپرس را ناامن کند.

استناد

مشاوره امنیتی Jetpack

مشکلات امنیتی در افزونه فید پست اجتماعی Smash Balloon اصلاح شد