Взлом WordPress contact form 7 datepicker
1 апреля 2020 года команда Wordfence Threat Intelligence обнаружила хранимую уязвимость межсайтового скриптинга (XSS) в контактной форме 7 Datepicker.
Wordfence связались с разработчиком плагина и получили ответ, подтверждающий, что они не планируют поддерживать плагин.
Плагина удален из репозитория.
Как работал взлом datepicker
Плагин DatePicker для контактной формы 7 позволяет пользователям добавлять средства выбора даты в формы, сгенерированные контактной формой 7, и включает в себя возможность изменять настройки для этих средств выбора даты. Чтобы обработать эти настройки, он регистрировал действие AJAX, вызывающее функцию, которая не включила проверку возможности или одноразовую проверку. Таким образом, вошедший в систему злоумышленник с минимальными разрешениями, например подписчик, мог отправить специально созданный запрос, содержащий вредоносный JavaScript, который будет храниться в настройках плагина.
В следующий раз, когда авторизованный пользователь создаст или изменит контактную форму, хранимый JavaScript будет выполнен в их браузере, который можно использовать для кражи сеанса администратора или даже для создания злонамеренных пользователей-администраторов.
Нашими специалистами сайты проверены.
Уязвимость устранена.
Рекомендации
- Удалить плагин
- Обновиться
- Поменять пароли
- Заменить код, например — ссылка.
Источники: Разработчики, Кто нашел уязвимость