Uma vulnerabilidade corrigida recentemente no plugin do WordPress Download Manager pode ser usada para executar código arbitrário em configurações específicas, alerta a equipe do WordFence da empresa de segurança Defiant do WordPress.
Rastreado como CVE-2021-34639 e tendo uma pontuação CVSS de 7,5, o bug é um problema de upload de arquivo autenticado que poderia ter permitido que invasores carregassem arquivos com extensões php4, bem como arquivos que poderiam ser executados se certas condições fossem atendidas.
Especificamente, o plug-in foi considerado vulnerável a um ataque de dupla extensão, em que um arquivo com várias extensões pode ser usado para executar o código.
“Por exemplo, era possível fazer upload de um arquivo intitulado info.php.png. Este arquivo seria executável em certas configurações Apache / mod_php que usam uma diretiva AddHandler ou AddType ”, explica Wordfence.
Os pesquisadores de segurança ressaltam que, embora se trate de um problema de alta gravidade, sua exploração não é tão simples, pois um arquivo .htaccess no diretório de download impede a execução de arquivos carregados.
As versões do WordPress Download Manager anteriores à versão 3.1.24 foram afetadas. A vulnerabilidade foi corrigida no início de maio, juntamente com uma falha de gravidade média que poderia ser usada para acessar informações confidenciais.
Rastreado como CVE-2021-34638 (pontuação CVSS de 6,5), o problema é uma travessia de diretório que pode permitir que um usuário com poucos privilégios “recupere o conteúdo do arquivo wp-config.php de um site adicionando um novo download e executando um diretório de ataque transversal usando o parâmetro file [page_template] ”, afirma o Wordfence.
Portanto, o conteúdo do arquivo wp-config.php é exibido na fonte da página ao visualizar o download.
A vulnerabilidade, explica Wordfence, também pode ser usada para execução de código. Um usuário com as permissões de um autor pode fazer upload de um arquivo com uma extensão de imagem, mas que inclui JavaScript malicioso.
Ao incluir o caminho do arquivo carregado no parâmetro arquivo [page_template] , o usuário garantiria que o JavaScript pudesse ser executado sempre que a página fosse exibida ou visualizada. Isso levaria ao armazenamento de scripts entre sites, permitindo que o invasor assumisse o controle de um site executando o código na sessão do navegador do administrador.
Este artigo é uma tradução de: https://www.securityweek.com/remote-code-execution-flaws-patched-wordpress-download-manager-plugin (Autor: Ionut Arghire)
