FB メッセンジャー ライブ チャットの重大な XSS 脆弱性

実際、WordPress が広く普及しているため、ハッカーは、人気のあるすべての WordPress プラグインを絶え間なく乗り越えようとしています。その結果、WordPress プラグインの脆弱性の開示は、終わりのないプロセスのように見えます。今回は Zotabox による FB メッセンジャー ライブ チャットです。そのため、Zotabox による FB メッセンジャー ライブ チャットの永続的な XSS 脆弱性が明らかになりました。

この WordPress プラグインには、公式の WordPress プラグイン ディレクトリによると、30,000 を超えるアクティブなインストールがあります。 WordPress.org によると、パッチが適用された脆弱性の新しいバージョン 1.4.9 で 1 日前に更新されました。

FB メッセンジャー ライブ チャットにおける XSS 脆弱性の詳細

スクリプトにデータを送信し、ページをリロードせずにデータを受信する WordPress AJAX 機能を介して、関数 update_zb_fbc_code 誰でもアクセスできます。

次のコード行でわかるように、wp_ajax_update_zb_fbc_code (認証済みユーザーの場合) &wp_ajax_nopriv_update_zb_fbc_code （特権ユーザーがいない場合）、どちらも同じ機能「update_zb_fbc_code」を使用します 」。したがって、すべてのユーザー (ログインしているかどうかに関係なく) がプラグイン設定を変更できるようになります。これがどれほど重大な脆弱性であり、どのように悪用される可能性があるかについては、いくら強調してもしすぎることはありません。

154 add_action("wp_ajax_update_zb_fbc_code", "update_zb_fbc_code");
155 add_action("wp_ajax_nopriv_update_zb_fbc_code", "update_zb_fbc_code");

さらに、update_zb_fbc_code 関数は、チェックする機能がないことをチェックしたり、クロスサイト リクエスト フォージェリ (CSRF) を防止するチェックを行ったりしません。 プラグイン設定の変更を許可する前に。さらに、この関数によって設定を変更するための入力のサニタイズと検証は非常に制限されています。唯一のフィルタリングは () をサニタイズすることですが、変更された設定がフロント エンドでレンダリングされるため、これでは不十分です。

157 function update_zb_fbc_code(){
158 header('Access-Control-Allow-Origin: *');
159 header('Access-Control-Allow-Credentials: true');
160 $domain = addslashes($_REQUEST['domain']);
161 $public_key = addslashes($_REQUEST['access']);
162 $id = intval($_REQUEST['customer']);
163 $zbEmail = addslashes($_REQUEST['email']);
164 if(!isset($domain) || empty($domain)){
165 header("Location: ".admin_url()."admin.php?page=zb_fbc");
166 }else{
167 update_option( 'ztb_domainid', $domain );
168 update_option( 'ztb_access_key', $public_key );
169 update_option( 'ztb_id', $id );
170 update_option( 'ztb_email', $zbEmail );
171 update_option( 'ztb_status_disconnect', 2 );
172 wp_send_json( array(
173 'error' => false,
174 'message' => 'Update Zotabox embedded code successful !' 
175 )
176 );
177 }
178 }

この FB メッセンジャーのライブチャットにおける XSS の脆弱性により、後続のプロセスも影響を受けます。プラグインは、WordPress ページがロードされたときに実行される insert_zb_fbc_code() を登録します:

151 add_action( 'wp_head', 'insert_zb_fbc_code' );

次に、これが print_zb_fbc_code() 関数などに送信されます。

139 function insert_zb_fbc_code(){
140 if(!is_admin()){
141 $domain = get_option( 'ztb_domainid', '' );
142 $ztb_source = get_option('ztb_source','');
143 $ztb_status_disconnect = get_option('ztb_status_disconnect','');
144 $connected = 2;
145 if(!empty($domain) && strlen($domain) > 0 && $ztb_status_disconnect == 146$connected){
147 print_r(html_entity_decode(print_zb_fbc_code($domain)));
148 }
149 }
150 }

180 function print_zb_fbc_code($domainSecureID = "", $isHtml = false) {
181
182 $ds1 = substr($domainSecureID, 0, 1);
183 $ds2 = substr($domainSecureID, 1, 1);
184 $baseUrl = '//static.zotabox.com';
185 $code = <<<STRING
186 <script type="text/javascript">
187 (function(d,s,id){var z=d.createElement(s);z.type="text/javascript";z.id=id;z.async=true;z.src=" {$baseUrl}/{$ds1}/{$ds2}/{$domainSecureID}/widgets.js";var sz=d.getElementsByTagName(s)[0];sz.parentNode.insertBefore(z,sz)}(document,"script","zb-embed-code"));
188 </script>
189 STRING;
190 return $code;
191 }

安全のために更新

最も明白かつ重要な安全対策は、プラグインのパッチを適用したバージョンに更新することです。 FB メッセンジャー ライブ チャット プラグインがバージョン 1.4.9 に更新されました .悪用の試みを軽減するために、できるだけ早くこのバージョンに更新してください。

さらに、強力なサニタイズおよび検証システムにより、Web サイトを XSS や CSRF などのケースから防ぐことができます。

包括的なセキュリティ ソリューション

セキュリティを当然のことと考えると、この時代に非常に大きな代償を払うことになります。ウェブサイトを継続的かつ包括的に監視するシステムを持つことは、ウェブサイトを保護する上で大いに役立ちます。 WordPress 向けに調整された Astra WordPress Security Suite のようなセキュリティ ソリューションは救世主となる可能性があります。 Astra は Web サイトにファイアウォールを提供し、XSS、CSRF、悪意のあるボット、SQLi、およびその他の 100 以上の可能性のある攻撃に対するバリアを設置します。今すぐ Astra のデモを入手するか、ここにメッセージをお送りください。喜んでお手伝いさせていただきます。