WordPress XSS Bug允许驱动器代码执行

使用Gutenberg（在WordPress 5.0到5.2.2中找到）的网站可以完全接管。

根据一项分析，WordPress中一个刚修补的存储跨站点脚本（XSS）漏洞允许偷渡式远程代码执行。

该错误存在于内置编辑器Gutenberg中，该编辑器可在WordPress 5.0及更高版本中找到。FortiGuard实验室的威胁研究员Zhouyuan Yang表示，如果出现“Shortcode”错误消息，Gutenberg无法过滤帖子的JavaScript / HTML代码。

短代码本质上是WordPress用户可以用来嵌入文件或创建通常需要更复杂代码来完成的对象的快捷方式。通过单击Gutenberg编辑器中的“添加块按钮”，可以将短代码块添加到页面中。

但是，根据分析，当将某些HTML编码字符（例如“＆lt;”）添加到Shortcode块本身然后重新打开帖子时，用户将收到错误消息。

“[Wordpress]通过解码'＆lt;'来预览[帖子] 对''，'，“杨解释说。“可以轻松绕过此预览中的XSS过滤器[通过添加]概念验证[code]'＆gt;＆lt; img src = 1 onerror = prompt（1）＆gt;。[到帖子]。“

之后，当任何网站访问者查看帖子时，XSS代码将在他们的浏览器中执行。

“这允许具有”贡献者“或更高权限的远程攻击者在访问受感染网页的受害者的浏览器中执行任意JavaScript / HTML代码，”他在周四的帖子中写道。

Yang告诉Threatpost，只要攻击者在易受攻击的WordPress网站上有“贡献者角色”，攻击者就可以利用它。攻击者还可以建立自己的网站或首先妥协合法网站以注入代码。之后，他们只需要诱使受害者访问受感染的页面即可执行恶意代码。

根据OWASP的说法，与此漏洞相关的“存储的XSS”名称也很麻烦，因为它是“最危险”的XSS类型。根据OWASP，当Web应用程序从用户收集输入并存储该输入以供以后使用时，就会发生存储的XSS。如果未正确过滤，恶意数据将显示为网站的一部分，并在Web应用程序的特权下在用户的浏览器中运行。

美国国家标准与技术研究院将此漏洞的常见漏洞和暴露评级指定为6.1，使其成为中度严重性漏洞。

另一个波折

杨发现的漏洞还有另一个波折。“如果受害者具有很高的权限，例如管理员，攻击者甚至可以拿下他们的网络服务器，”他说。

例如，Yang有一个概念验证漏洞利用程序，攻击者在其中托管一个JavaScript文件，该文件可以利用XSS错误将用户名为“attacker”和密码“attacker”的WordPress管理员帐户添加到目标CMS。

攻击者可以通过向URL“/wordpress/wp-admin/user-new.php”发送GET请求来提取当前的“nonce”值。Yang解释说，使用这个nonce值，可以构建一个POST查询，并以管理员身份创建一个具有任意用户名和密码的新用户。然后，攻击者可以使用这个新帐户将现有的php文件修改为webshel​​l（这是一个WordPress内置函数），然后使用webshel​​l来控制Web服务器。

FortiGuard实验室联系了WordPress有关该漏洞的问题，本月修补版本为5.2.3。该漏洞（标识为CVE-2019-16219）会影响WordPress版本5.0到5.0.4,5.1和5.1.1。该错误的公开披露是在上周。

它并不是平台上唯一的XSS缺陷; 此更新还修复了贡献者在发布的评论中，媒体上传期间，仪表板中以及URL清理期间的帖子预览中发现的XSS漏洞。

WordPress和各种插件中的XSS漏洞继续困扰着该平台，这是全球最受欢迎的内容管理系统（CMS），占全球CMS市场份额的60.4％。互联网上所有网站中约有三分之一是使用WordPress构建的。

最近，在7月份，WordPress插件WP Statistics 修补了一个XSS漏洞，可能允许完整的网站接管; 3月份，WordPress 在该平台的评论系统中发布了一个存储XSS漏洞的补丁。