Allvarliga sårbarheter i NextGen Gallery påverkar över 800 000 WordPress-webbplatser

Den 14 december 2020 var Wordfence Threat Intelligence-teamet klar med att undersöka två sårbarheter över CSRF (Cross-Site Request Forgery) i NextGen Gallery, ett WordPress-plugin med över 800 000 installationer. Dessa inkluderade en kritisk sårbarhet som kunde leda till RCE (Remote Code Execution) och Stored Cross-Site Scripting (XSS). Utnyttjande av dessa sårbarheter kunde leda till webbplatsövertagande, skadliga omdirigeringar, skräppostinjektion, nätfiske och mycket mer.

Wordfence Threat Intelligence kontaktade plugin-utgivaren Imagely samma dag och tillhandahöll fullständig information den 15 december 2020. Imagely skickade korrigeringar den 16 december och publicerade den patchade versionen, 3.5.0, den 17 december 2020.

Påverkade versioner:

Version: < 3.5.0
CVE ID: CVE-2020-35942
CVSS Score: 9.6 (CRITICAL)
CVSS Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
Fullt patchad version: 3.5.0

Tekniska detaljer

Felet låg i en funktion som kontrollerade behörighet för att ladda upp CSS-filer. Funktionen innehöll en logisk miss där om en WordPress nonce saknades, fick användaren ändå behörighet. Detta öppnade upp för CSRF-attacker där en administratör kunde luras att klicka på en länk som utnyttjade sårbarheten.

Vanligtvis skyddas uppladdningsfunktionen mot PHP-filer, men attackerare kunde ladda upp filer med t.ex. namnet virus.php.css. I vissa konfigurationer, särskilt med Apache/mod_php, kunde dessa köras som PHP-skript. Genom att använda "Legacy Template"-funktionen i pluginet kunde en angripare köra den uppladdade filen, vilket resulterade i Local File Inclusion (LFI) och Remote Code Execution (RCE). Dessutom kördes eventuella JavaScript-filer i den uppladdade filen, vilket möjliggjorde XSS (Cross-Site Scripting).

Rekommendation

Om du använder NextGen Gallery-pluginet bör du omedelbart uppdatera till version 3.5.0 eller senare för att undvika dessa säkerhetsrisker.