Chyba WordPress pluginu umožňuje útočníkům padělat e-maily

emailing

Vysoce riziková chyba v pluginu Email Subscribers & Newsletters od Icegramu, který pomáhá webům odesílat e-maily a zpravodaje předplatitelům, ovlivňuje více než 100 000 WordPress webů.

Vzdálený, neověřený útočník může chybu využít k odesílání padělaných e-mailů všem příjemcům z dostupných seznamů kontaktů nebo předplatitelů – s úplnou kontrolou nad obsahem a předmětem e-mailu.

“Chtějí-li uživatelé chybu opravit musí „upgradovat na plugin WordPress Email Subscribers & Newsletters by Icegram verze 4.5.6 nebo vyšší,“ uvedli vědci z Tenable, kteří tuto chybu objevili ve zpravodaji.

Chyba (CVE-2020-5780) je na stupnici CVSS na 7,5 z 10, což ukazuje na vysokou závažnost. Ovlivňuje verze pluginu 4.5.5 a starší.

Problém spočívá v chybě zabezpečení týkající se padělání / spoofingu e-mailů ve třídě class-es-newsletters.php.

“Neautentizovaní uživatelé mohou odeslat ajax požadavek na admin_init hook,” řekl Alex Peña, výzkumný inženýr společnosti Tenable. “Tím se spustí volání funkce process_broadcast_submission.”

Manipulací s parametry požadavku by útočník mohl naplánovat nové odesílání na celý seznam kontaktů kvůli nedostatku zavedeného ověřovacího mechanismu.

Ve scénáři útoku z reálného života by mohl neověřený vzdálený útočník nejprve odeslat speciálně vytvořený požadavek na zranitelný server. Požadavek by pak naplánoval zasílání nového zpravodaje na celý seznam kontaktů, kde může útočník libovolně nastavit plánovaný čas, seznam kontaktů, předmět a obsah e-mailu.

“To by mohlo být použito k provedení phishingového útoku nebo podvodu, podobně jako nedávný útok na Twitter, který byl zaměřen na jednotlivce z e-mailového seznamu konkrétní organizace,” řekla Peña. “Vzhledem k tomu, že e-mail pochází z důvěryhodného zdroje, je pravděpodobnější, že příjemci komunikaci důvěřují a budou přesvědčeni jejím obsahem.”

Vědci oznámili problém 26. srpna. Oprava byla již vydána a zatím nebylo zaznamenáno zneužití této chyby.

Zdroj: threatpost.com

Napsat komentář