WordPress WP-Members插件中的XSS漏洞可能导致脚本注入

Defiant的Wordfence研究团队披露了WordPress WP-Members Membership插件中的跨站脚本（XXS）漏洞，可能导致恶意脚本注入。该未经身份验证的存储型跨站脚本漏洞是作为公司Bug赏金狂欢活动的一部分由WordPress开发者Webbernaut向Wordfence报告的。Webbernaut获得了500美元的赏金。WP-Members Membership插件目前已安装在超过60,000个WordPress网站上。

Wordfence发布的通告称：“该漏洞允许威胁行为者通过插件用于记录目的的X-Forwarded-For头部注入任意JavaScript。当管理员查看时，恶意代码将在管理员的浏览器会话中执行，并允许创建恶意管理员用户以及更改受影响站点的设置，可能导致完全接管站点。”

该缺陷影响所有版本，包括3.4.9.2及以下版本，问题源于不足的输入消毒和输出转义。未经身份验证的攻击者可以触发该缺陷，以在页面中注入任意Web脚本，每当用户访问注入页面（即编辑用户页面）时，脚本将执行。Wordfence表示，在版本3.4.9.2中只部分修补了该缺陷，在版本3.4.9.3中完全修补了该缺陷。为了利用这个XXS漏洞，攻击者可以使用代理拦截填写并提交注册表单后的注册请求。然后，攻击者可以修改原始请求，将包含在script标签中的恶意有效载荷设置为X-Forwarded-For头部。

该请求允许使用攻击者提供的详细信息创建用户帐户。插件通过易受攻击的rktgk_get_user_ip函数将注册表单中填写的用户的IP地址存储在其个人资料中。rktgk_get_user_ip函数检查请求是否包含HTTP_CLIENT_IP或HTTP_X_FORWARDED_FOR头部。如果其中任何一个头部存在，该函数将使用该值作为用户的IP，而不是REMOTE_ADDR变量，然后将提供的值作为IP地址返回。由于输入未经消毒，攻击者可以操纵HTTP头部提供恶意网络脚本，然后将其存储为用户的IP。如果管理员编辑或查看此用户帐户，则在页面加载时生成的源代码中将存在注入的JavaScript。重要的是要理解，此恶意代码将在管理员的浏览器会话中执行，并可用于创建恶意用户帐户，将站点访问者重定向到其他恶意站点并执行其他恶意操作。

原文始发于微信公众号（黑猫安全）：WordPress WP-Members插件中的XSS漏洞可能导致脚本注入