Plugin WPForms phiên bản 1.5.8.2 trở xuống được phát hiện là dễ bị tấn công bởi XSS được lưu trữ đã xác thực trong khi tôi đang kiểm tra plugin. WPForms phiên bản 1.5.9 với khả năng làm sạch dữ liệu được cải thiện đã được phát hành vào ngày 5 tháng 3 năm 2020.
ID CVE: CVE-2020-10385
Tóm tắt
WPForms là một plugin biểu mẫu WordPress phổ biến với hơn 3 triệu lượt cài đặt đang hoạt động. Nó được phát hiện là dễ bị tấn công bởi lỗ hổng Cross-Site Scripting (XSS) đã được xác thực. XSS là một loại lỗ hổng bảo mật có thể bị kẻ tấn công lợi dụng để thực hiện nhiều hành động độc hại khác nhau như ăn cắp cookie phiên của nạn nhân hoặc thông tin đăng nhập, thực hiện các hành động tùy ý thay mặt nạn nhân, ghi lại các lần gõ phím của họ và hơn thế nữa.
Lỗ hổng bảo mật
Mô tả biểu mẫu và Mô tả trường các trường trong mô-đun Trình tạo biểu mẫu của plugin WPForms được phát hiện là có thể dễ bị tấn công bởi XSS được lưu trữ, vì chúng không làm sạch đầu vào do người dùng cung cấp đúng cách.
Mặc dù chúng không gây ra mối đe dọa bảo mật cao như một lỗ hổng XSS đã được xác thực, nhưng chúng tôi có thể xác nhận rằng những lỗ hổng này có thể bị kẻ tấn công lợi dụng để thực hiện các hành động độc hại trên cài đặt đa trang WordPress để gửi cookie của quản trị viên cấp cao đến kẻ tấn công hoặc chuyển hướng quản trị viên cấp cao cho một miền khác, ví dụ:một trang lừa đảo được thiết kế để cho thấy rằng họ đã đăng xuất và cần đăng nhập lại, do đó ảnh hưởng đến thông tin đăng nhập của họ.
Chúng tôi còn có thể nhận thấy rằng chức năng “xem trước” của trình tạo biểu mẫu cũng dễ bị XSS phản ánh.
Dòng thời gian
Lỗ hổng bảo mật được báo cáo cho nhóm WPForms vào ngày 18 tháng 2 năm 2020.
WPForms phiên bản 1.5.9 có chứa bản sửa lỗi cho lỗ hổng bảo mật được phát hành vào ngày 5 tháng 3 năm 2020.
Đề xuất
Bạn nên cập nhật plugin lên phiên bản mới nhất. Để biết các phương pháp bảo mật tốt nhất, bạn có thể làm theo các hướng dẫn dưới đây:
- Hướng dẫn Bảo mật WordPress
- Hack và loại bỏ phần mềm độc hại trên WordPress
Tham khảo
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-10385
- https://wpvulndb.com/vulnerabilities/10114
- WPForms Changelog