Permite que código
arbitrario JavaScript pueda ser ejecutado en el lado del cliente si un atacante
persuade a la víctima para que pulse sobre la URL bajo el control de éste.
El plugin Duplicator
realiza la migración de datos al vuelo entre hosts que tengan instalado el CMS
WordPress. Permite tanto backups completos del sitio como partes del mismo.
Simplemente con
instalarlo y a golpe de ratón, los usuarios que tengan su blog u ofrezcan algún
tipo de servicio pueden utilizarlo para por ejemplo, mover su sitio a otro
hosting que le ofrezca un mejor precio.
Como has podido
deducir, un gran número de sitios tienen este tipo de plugins. En este caso el
Plugin Duplicator tiene según el autor +1 millón de instalaciones. La versión
afectada es la 1.2.32 (aunque es probable que las anteriores también lo sean).
Según en las
instrucciones de la web del autor, la ruta de instalación se encuentra en:
/wp-content/plugins/duplicator
Vamos a investigar
qué nos cuenta Google indicando la ruta de instalación:
Se puede acotar la
búsqueda para localizar el fichero “Readme” que contiene información útil como
puede ser la versión actual del plugin. Ampliamos la búsqueda para que nos
muestre el contenido del “Index Of” del directorio en cuestión:
Comprobamos la
versión actualmente instalada:
Para explotar esta
vulnerabilidad XSS el atacante debe enviar la siguiente petición POST al
servidor:
POST
/wp-content/plugins/duplicator/installer/build/view.step4.php
Finalmente se
obtendría la respuesta donde se ve la cadena inyectada:
Esta vulnerabilidad
se puede explotar si el instalador no ha sido eliminado por el administrador
del sitio.
Se recomienda
actualizar este plugin a la última versión disponible. En este caso a la
1.2.34.
Más información:
- WordPress Plugin Duplicator 1.2.32 - Cross-Site
Scripting https://www.exploit-db.com/exploits/44288/
- Duplicator – WordPress Migration Plugin https://wordpress.org/plugins/duplicator/#description
Fuente: Hispasec