Uma falha no XSS (cross-site scripting) que afeta 100 mil sites foi corrigida no plug-in KingComposer WordPress. O KingComposer é um construtor de páginas de arrastar e soltar para domínios baseados no WordPress. Assim, ele elimina a necessidade de programar ou codificar diretamente sites da Web alimentados pelo sistema de gerenciamento de conteúdo (CMS).
A equipe de Inteligência de Ameaças do Wordfence descobriu o bug do XSS em 25 de junho. Identificada como CVE-2020-15299,a falha tem uma pontuação de gravidade de 6,1. Ela foi encontrada nas funções do Ajax usadas pelo plug-in para facilitar os recursos do construtor de páginas.
Uma das funções do Ajax não estava em uso ativo. No entanto, ainda podia ser iniciada enviando uma solicitação POST para um script chamado admin-ajax.php com um parâmetro de ação definido como kc_install_online_preset. A função renderiza o JavaScript em vários parâmetros que são decodificados em base64.
Como tal, se um invasor usasse a codificação base64 em uma carga maliciosa e induzisse a vítima a enviar uma solicitação contendo essa carga no parâmetro kc-online-preset-data, a carga maliciosa seria decodificada e executada no navegador da vítima”, dizem os pesquisadores.
KingComposer corrige falha de XSS e afeta 100 mil sites WordPress
As vulnerabilidades XSS refletidas dependem da vítima para executar uma ação específica para acionar um ataque. Isso pode ser alcançado fornecendo links maliciosos que precisam ser clicados. Então, se bem-sucedidos, podem levar ao seqüestro de sessões do navegador ou ao download e execução de malware.
A equipe do Wordfence Threat Intelligence tentou entrar em contato com os desenvolvedores do plug-in um dia após a descoberta. No entanto, não houve resposta, levando a equipe a entrar em contato diretamente com a equipe de Plug-ins do WordPress em 25 de junho. Em 26 de junho, foi feito um contato com os desenvolvedores do KingComposer e uma versão corrigida do plug-in, versão 2.9.5, foi lançada em 29 de junho.
O problema de segurança foi resolvido removendo a função Ajax vulnerável e obsoleta. Até o momento, cerca de 62,1% dos usuários atualizaram para a versão 2.9.5. Portanto, 37,9% dos sites com o KingComposer ativado ainda corriam risco de serem explorados.
ZDNet