Ένας ερευνητής ασφάλειας αποκάλυψε λεπτομέρειες για μια κρίσιμη ευπάθεια σε ένα από τα δημοφιλή και ευρέως ενεργά plugins για το WordPress που θα μπορούσαν να επιτρέψουν σε έναν low-privileged εισβολέα να εισάγει κακόβουλο κώδικα στις σελίδες AMP της στοχευμένης ιστοσελίδας.

Η εν λόγω ευπάθεια του WordPress είναι το “AMP for WP – Accelerated Mobile Pages” που επιτρέπει στους ιστότοπους να δημιουργούν αυτόματα, έγκυρες mobile σελίδες για τις αναρτήσεις ιστολογίου τους και άλλες ιστοσελίδες.

Το AMP, που σημαίνει Accelerated Mobile Pages, είναι μια τεχνολογία ανοιχτού κώδικα που έχει σχεδιαστεί από την Google για να επιτρέπει στους ιστότοπους να δημιουργούν και να προσφέρουν ταχύτερες ιστοσελίδες στους χρήστες φορητών συσκευών.

Από τα εκατοντάδες plugins που επιτρέπουν στους ιστότοπους WordPress να δημιουργούν σελίδες AMP, το “AMP for WP” είναι το πιο δημοφιλές μεταξύ των άλλων, με περισσότερες από 100.000 εγκαταστάσεις.

Το προσβληθέν plugin αφαιρέθηκε προσωρινά από το plugins library του WordPress, λόγω του ευάλωτου κώδικα, αλλά ούτε ο προγραμματιστής ούτε η ομάδα του WordPress αποκάλυψαν το ακριβές πρόβλημα στο plugin.

Ο ερευνητής του Cybersecurity, Luka Sikic, από την εταιρία WebArche, ανέλυσε την ευπρόσβλητη έκδοση του plugin και διαπίστωσε την ύπαρξη ευπάθειας στο κώδικα του”AMP for WP”, το οποίο στη συνέχεια επιδιορθώθηκε στην ενημερωμένη του έκδοση.

Η ευπάθεια λειτουργούσε με τέτοιο τρόπο, ώστε το “AMP for WP – Accelerated Mobile Pages” plugin χειριζόταν δικαιώματα στους λογαριασμούς των χρηστών και στο AJAX του WordPress.

Σύμφωνα με τις ρυθμίσεις του, το plugin προσφέρει στους διαχειριστές ιστότοπων επιλογές για την προσθήκη διαφημίσεων και προσαρμοσμένου κώδικα HTML / JavaScript στην κεφαλίδα ή το υποσέλιδο μιας σελίδας AMP. Για να γίνει αυτό, το plugin χρησιμοποιεί το WordPress built-in /AJAX hooks στο παρασκήνιο.

Δεδομένου ότι κάθε εγγεγραμμένος χρήστης σε ιστότοπο WordPress, έχει εξουσιοδότηση να χρησιμοποιήσει AJAX hooks και καθώς το ευπαθές plugin δεν ελέγχει αν ο λογαριασμός ανήκει στο διαχειριστή ή όχι, οποιοσδήποτε χρήστης του ιστότοπου μπορεί να χρησιμοποιήσει αυτή τη λειτουργία για να εισάγει προσαρμοσμένο κώδικα.

Όπως έχει αποδείξει ο ερευνητής σε ένα βίντεο, ένας low-privileged χρήστης μπορεί απλά να εισάγει κακόβουλο κώδικα JavaScript στον ιστότοπο.

Αυτή η ευπάθεια έχει αντιμετωπιστεί στην τελευταία έκδοση 0.9.97.20 του A AMP for WP – Accelerated Mobile Pages.

Αν ο ιστότοπος WordPress σας χρησιμοποιεί το προσβληθέν plugin, συνιστούμε να εγκαταστήσετε το συντομότερο δυνατόν τις πιο πρόσφατες διαθέσιμες ενημερώσεις ασφαλείας.

Μόλις την περασμένη εβδομάδα, μία άλλη ευπάθεια αυθαίρετης διαγραφής αρχείων αποκαλύφθηκε στο δημοφιλές plugin WooCommerce, η οποία θα μπορούσε να επιτρέψει σε έναν κακόβουλο χρήστη να αποκτήσει τον πλήρη έλεγχο των ιστοσελίδων του WordPress.