CERT EU ostrzega o podatności w popularnym pluginie do WordPressa. Możliwe jest przejmowanie serwisów webowych. WordPress Google Fonts Plugin.

Cóż groźnego może być w dość prostym, a popularnym (300k instalacji) pluginie, który ma spowodować żeby fonty Googlowe używane w danym serwisie webowym były „GDPR Compliant” ?

Otóż dużo ;-) Cert EU donosi bowiem o podatności stored XSS, którą może wykorzystać nieuwierzytelniony atakujący:

On January 2, 2024, an unauthenticated Stored Cross-Site Scripting (XSS) and directory deletion vulnerability has been discovered in the „OMGF | GDPR/DSGVO Compliant, Faster Google Fonts. Easy.” plugin for WordPress. This vulnerability, identified as CVE-2023-6600 (CVSS score of 8.6), may allow unauthenticated attackers to update the plugin’s settings and inject malicious scripts into affected sites.

Jeśli chodzi o szczegóły, to PoCa na razie nie mamy, chociaż całość wydaje się dość prosta. Tzn. atakujący bez logowania wywołuje funkcję update_settings() w kontekście podatnego pluginu. Wstrzykuje tam JavaScript, który następnie jest serwowany użytkownikom serwisu. Sam JavaScript może realizować „różne nieprzyjemne rzeczy” – np. podmieniać zawartość strony, przekierowywać użytkowników na scam strony – a w przypadku administratorów serwisu – przejmować ich konta.

The OMGF plugin vulnerability occurs due to a missing capability check on the update_settings() function hooked via admin_init. This allows unauthenticated attackers to modify the plugin’s settings, leading to Stored Cross-Site Scripting and directory deletion.

W każdym razie warto się zaktualizować do wersji 5.7.10

~ms