SQL Injection в WordPress Plugin Survey & Poll 1.5.7.3
Обнаружена уязвимость в плагине по созданию опросов для сайтов на WordPress, позволяющая эксплуатировать SQL-инъекцию через параметр cookie.
Выполнить эксплуатацию возможно следующим образом:
- При прохождении опроса получаем параметр
cookie wp_sapс некоторым значением (payload); - Открыв менеджер
cookie, меняем содержимое параметраwp_sapна полезную нагрузку, с помощью которой можем получить, например, вывод информации о БД; - Перезагрузив страницу и открыв ее исходный код в HTML, в параметре
sss_paramsбудет указана версия БД (payload).
Пример вывода в коде страницы (в случае успеха):
<script type='text/javascript'>
/* <![CDATA[ */
var sss_params = {"survey_options":"{\"options\":\"[\\\"center\\\",\\\"easeInOutBack\\\",\\\"\\\",\\\"-webkit-linear-gradient(top , rgb(5, 40, 242) 13% , rgb(204, 204, 204) 70%);-moz-linear-gradient(top , rgb(5, 40, 242) 13% , rgb(204, 204, 204) 70%);-ms-linear-gradient(top , rgb(5, 40, 242) 13% , rgb(204, 204, 204) 70%);-o-linear-gradient(top , rgb(5, 40, 242) 13% , rgb(204, 204, 204) 70%);linear-gradient(top , rgb(5, 40, 242) 13% , rgb(204, 204, 204) 70%);\\\",\\\"rgb(0, 0, 0)\\\",\\\"rgb(93, 93, 93)\\\",\\\"1\\\",\\\"5\\\",\\\"12\\\",\\\"10\\\",\\\"12\\\",500,\\\"Thank you for your feedback!\\\",\\\"0\\\",\\\"0\\\",\\\"0\\\"]\",\"plugin_url\":\"http:\\\/\\\/www.*****.com\\\/wp-content\\\/plugins\\\/wp-survey-and-poll\",\"admin_url\":\"http:\\\/\\\/www.******.com\\\/wp-admin\\\/admin-ajax.php\",\"survey_id\":\"1101225978\",\"style\":\"modal\",\"expired\":\"false\",\"debug\":\"true\",\"questions\":[[\"Are You A First Time Home Buyer?\",\"Yes\",\"No\"],[\>>>>>>"10.1.36-MariaDB-1~trusty\"<<<<<<<]]}"};
/* ]]> */
</script>
DB version: "10.1.36-MariaDB-1~trusty"....
Использование Nemeisida WAF не позволит выполнить эксплуатацию подобной уязвимости.