Các nhà nghiên cứu đã phát hiện ra một lỗ hổng báo cáo đặc quyền quan trọng được tìm thấy trong hai chủ đề được sử dụng bởi hơn 90,000 trang web WordPress có thể cho phép các tác nhân đe dọa tiếp quản trang web hoàn toàn.

Nhà nghiên cứu Ramuel Gall của Nhóm WordFence Threat Intelligence đã phát hiện ra lỗ hổng, một trong năm lỗ hổng mà ông đã tìm thấy từ đầu tháng XNUMX đến đầu tháng XNUMX trong sao Mộc và các chủ đề WordPress cao cấp của JupiterX, anh ấy đã tiết lộ trong một bài đăng blog xuất bản thứ tư.

Một trong những sai sót — được theo dõi là CVE-2022-1654 và được đánh giá là 9.9, hoặc quan trọng trên CVSS – cho phép “bất kỳ kẻ tấn công đã xác thực nào, bao gồm cả người đăng ký hoặc kẻ tấn công cấp khách hàng, có được đặc quyền quản trị và hoàn toàn tiếp quản bất kỳ trang web nào chạy Chủ đề Jupiter hoặc Plugin JupiterX Core,” ông viết . Cần có plugin để chạy chủ đề JupiterX.

Các phiên bản bị ảnh hưởng của các chủ đề là: Jupiter Theme 6.10.1 trở xuống và JupiterX Core Plugin 2.0.7 trở lên.

WordFence đã hoàn thành cuộc điều tra của họ về hầu hết các lỗ hổng vào ngày 5 tháng XNUMX và báo cáo chúng cho nhà phát triển chủ đề Jupiter và JupiterX nghệ thuậtong trong cùng một ngày; vào ngày 3 tháng 10, họ đã thông báo cho nhà phát triển về một lỗ hổng bổ sung của chủ đề Jupiter. Đến ngày XNUMX tháng XNUMX, phiên bản được phát triển đã phát hành các phiên bản cập nhật của cả chủ đề Jupiter và JupiterX đã vá tất cả các lỗi.

Lỗ hổng nghiêm trọng

Lỗ hổng nghiêm trọng được tìm thấy nằm trong một chức năng, uninstallTemplate, nhằm mục đích đặt lại trang web sau khi gỡ cài đặt mẫu. Tuy nhiên, nó “có tác dụng bổ sung là nâng người dùng gọi hàm lên vai trò quản trị viên,” Gall viết. Trong chủ đề Sao Mộc, chức năng được tìm thấy trong chính chủ đề; trong JupiterX, nó hiện diện trong plugin JupiterX Core.

“Các phiên bản dễ bị tổn thương đăng ký các hành động AJAX nhưng không thực hiện bất kỳ kiểm tra khả năng hoặc kiểm tra nonce nào,” ông viết.

Trên trang web đã cài đặt phiên bản Chủ đề Jupiter dễ bị tấn công, bất kỳ người dùng đã đăng nhập nào cũng có thể nâng cao đặc quyền của họ lên đặc quyền của quản trị viên bằng cách gửi yêu cầu AJAX với tham số hành động được đặt thành abb_uninstall_template. Điều này gọi hàm uninstallTemplate, gọi hàm resetWordpressDatabase, có hiệu quả cài đặt lại trang web với người dùng hiện đang đăng nhập là chủ sở hữu trang web mới, Gall giải thích.

Trên một trang web đã cài đặt phiên bản dễ bị tấn công của plugin JupiterX Core, ai đó có thể truy cập chức năng tương tự bằng cách gửi yêu cầu AJAX với tham số hành động được đặt thành jupiterx_core_cp_uninstall_template, ông nói.

Các lỗ hổng khác

Các plugin WordPress, thường được phát triển bởi các nhà phát triển bên thứ ba, nổi tiếng là nhiều lỗi. Các lỗi trước đây được tìm thấy trong các plugin cho nền tảng tạo trang web và -hosting phổ biến cũng đã cho phép tiếp quản trang web, cũng như những người đăng ký WordPress được kích hoạt lau hoàn toàn các trang web không thuộc về họ hoặc những kẻ tấn công vào giả mạo email cho người đăng ký.

Trong số những sai sót khác mà Gall đã phát hiện ra, có ba lỗ hổng — được theo dõi là CVE-2022-1656, CVE-2022-1658 và CVE-2022-1659–Được đánh giá là rủi ro trung bình và một, CVE-2022-1657 được đánh giá là rủi ro cao.

Lỗ hổng có rủi ro cao, ảnh hưởng đến JupiterX Theme 2.0.6 hoặc phiên bản cũ hơn và Jupiter Theme 6.10.1 trở xuống, có thể cho phép kẻ tấn công lấy thông tin đặc quyền, chẳng hạn như giá trị nonce hoặc thực hiện các hành động bị hạn chế, Gall giải thích. Điều này có thể được thực hiện bằng cách bao gồm và thực thi các tệp từ bất kỳ vị trí nào trên trang web.

“Các phiên bản dễ bị tổn thương của Chủ đề Jupiter và JupiterX cho phép người dùng đã đăng nhập, bao gồm cả người dùng cấp độ người đăng ký, thực hiện việc đưa vào Path Traversal và Local File,” Gall giải thích.

Trong chủ đề JupiterX, điều này có thể được thực hiện bằng cách sử dụng hành động jupiterx_cp_load_pane_action AJAX có trong tệp lib / admin / control-panel / control-panel.php để gọi hàm load_control_panel_pane. “Có thể sử dụng hành động này để bao gồm bất kỳ tệp PHP cục bộ nào thông qua tham số slug,” Gall viết.

Chủ đề Jupiter có một lỗ hổng gần như giống hệt nhau, mà kẻ tấn công có thể khai thác thông qua hành động mka_cp_load_pane_action AJAX có trong tệp framework / admin / control-panel / logic / functions.php, gọi hàm mka_cp_load_pane_action.

Các nhà nghiên cứu của Wordfence khuyến cáo rằng bất kỳ ai sử dụng các chủ đề bị ảnh hưởng nên cập nhật lên các phiên bản vá lỗi ngay lập tức. Công ty đã phát hành một quy tắc tường lửa để bảo vệ Wordfence cao cấp, chăm sóc hàng rào và Phản hồi Wordfence khách hàng vào ngày 5 tháng 4 và người dùng Wordfence miễn phí vào ngày XNUMX tháng XNUMX.