Validation des privilèges insuffisante dans NextScripts : affiche automatique des réseaux sociaux

Niveau d'exploitation: Facile / à distanceScore DREAD: 7,5Vulnérabilité: PlusieursVersion corrigée: 4.3.18NextScripts: L'affiche automatique des réseaux sociaux est un plugin qui publie automatiquement les articles de votre blog sur vos comptes de médias sociaux tels que Facebook, Twitter, Google+, Blogger, Tumblr, Flickr, LinkedIn, Instagram, Telegram, YouTube, WordPress, etc. Lors d'un audit de recherche de routine pour notre pare-feu Sucuri, nous avons découvert une suppression de publication, une publication arbitraire sur les réseaux sociaux et une mise à jour arbitraire des paramètres du plugin affectant plus de 100 000 utilisateurs du plugin WordPress.

Calendrier de divulgation / réponse:

  • 24 août 2020: Première tentative de contact
  • 25 août 2020: Détails techniques envoyés
  • 03 septembre 2020: Nous avons contacté directement l'équipe WP
  • 04 septembre 2020: Le patch est en ligne

État actuel de la vulnérabilité

Il peut être exploité par n'importe quel abonné et potentiellement par des utilisateurs non authentifiés une fois qu'un attaquant avec un compte d'abonné modifie les paramètres du plugin. Nous n'avons connaissance d'aucune tentative d'exploitation utilisant actuellement cette vulnérabilité.

Validation des privilèges insuffisante dans NextScripts : affiche automatique des réseaux sociaux

Détails techniques

Les versions vulnérables de ce plugin donnent accès à plusieurs fonctionnalités sans utiliser les restrictions appropriées – cela peut permettre à un mauvais acteur de faire ce qui suit:

  • Supprimer les publications (en corrompant le type de publication et d'autres données)
  • Publier des informations arbitraires dans les réseaux sociaux du site
  • Modifier les paramètres du plugin

Voici un exemple de message envoyé par un abonné à Telegram: Paramètres critiques pouvant être activés: un attaquant peut exploiter plusieurs attaques en utilisant toutes les fonctionnalités fournies par le plugin. Nous fournirons plus de détails dans notre résumé des vulnérabilités à la fin de ce mois.

Mettre à jour dès que possible

Pour se protéger contre cette vulnérabilité, nous encourageons vivement les utilisateurs de NextScripts: Social Networks Auto-Poster à mettre à jour leur plugin à la version 4.3.18 Dès que possible. Les utilisateurs qui ne peuvent pas mettre à jour immédiatement peuvent utiliser le pare-feu Sucuri ou une technologie équivalente pour corriger virtuellement la vulnérabilité.

Array

Tags: