Linode Security Digest 8 de maio a 15 de maio de 2023

No resumo desta semana, discutiremos o seguinte:

• Uma vulnerabilidade XSS em um plug-in altamente popular do WordPress, Advanced Custom Fields;
• Vulnerabilidade XSS do cPanel; e
• Uma possível vulnerabilidade de exposição de informações no Flask

CVE-2023-30777: Plug-in WordPress Advanced Custom Fields (ACF) e ACF Pro: XSS não autenticado 

Antecedentes

O Advanced Custom Fields (ACF) e o ACF Pro, as versões gratuita e profissional dos plug-ins ACF, respectivamente, são plug-ins altamente populares do WordPress, com mais de dois milhões de instalações ativas. Esse plug-in facilita a adição e o gerenciamento de campos de conteúdo na tela de edição do WordPress. Leia aqui para saber como você pode criar seu próprio site WordPress em uma Linode Compute Instance.

Vulnerabilidade

A vulnerabilidade rastreada como CVE-2023-30777 existe nas versões 6.1.5 e anteriores do plug-in ACF e ACF Pro. Trata-se de uma vulnerabilidade XSS refletida que permite que um invasor injete scripts mal-intencionados em sites vulneráveis, induzindo um usuário a visitar um URL criado. Se a vítima for um usuário privilegiado, o invasor poderá roubar informações confidenciais, como cookies ou tokens de sessão, e aumentar seus privilégios.

A vulnerabilidade está em um manipulador de função admin_body_class que não higieniza adequadamente a entrada do usuário que é passada para uma variável. Isso permite que um invasor concatene diretamente um código prejudicial, como uma carga útil de XSS do DOM, à variável que contém a cadeia de caracteres da classe body.

Mitigação

• Essa vulnerabilidade foi corrigida na versão 6.1.6 do plug-in. É altamente recomendável atualizar o plug-in para a versão mais recente.

CVE-2023-29489: cPanel: XSS na página de erro do cpsrvd por meio de chamada da Web inválida

Antecedentes

O cPanel é um painel de controle de hospedagem na Web amplamente utilizado por proprietários de sites, administradores e provedores de hospedagem para gerenciar e controlar vários aspectos de seus sites e contas de hospedagem. Ele fornece uma GUI baseada em Linux que permite aos usuários gerenciar facilmente os arquivos de seus sites, criar contas de e-mail, configurar bancos de dados, instalar aplicativos, gerenciar domínios e subdomínios e executar várias outras tarefas administrativas.

Vulnerabilidade

A vulnerabilidade rastreada como CVE-2023-29489 é um XSS refletido presente nas versões do cPanel anteriores à 11.109.9999.116. A vulnerabilidade surge quando uma chamada inválida da Web é chamada com seu ID contendo conteúdo XSS. A vulnerabilidade está presente no binário cpsrvd, que fornece as principais funcionalidades do cPanel. Ele executa uma validação inadequada do conteúdo fornecido pelo usuário pela página de erro do cpsrvd. Um ataque XSS é acionado quando a página de erro contém o conteúdo XSS. Essa vulnerabilidade não exige nenhuma autenticação e afeta até mesmo as portas de gerenciamento que não são expostas externamente.

Mitigação

• A vulnerabilidade foi corrigida nas versões 11.109.9999.116, 11.108.0.13, 11.106.0.18 e 11.102.0.31. Recomenda-se a atualização para essas versões para corrigir esse problema.

CVE-2023-30861: Flask: Exposição potencial de informações do cookie de sessão permanente

Antecedentes

O Flask é uma estrutura leve de aplicativos da Web escrita em Python. Ele oferece uma maneira simples e flexível de criar aplicativos da Web, aproveitando a linguagem de programação Python . Seu foco é a simplicidade e a extensibilidade, não impondo nenhuma maneira específica de estruturar um aplicativo. O Flask também tem um rico ecossistema de extensões que permite aos desenvolvedores escolherem os componentes necessários para seus projetos.

Vulnerabilidade

A vulnerabilidade é registrada como CVE-2023-30861. As versões afetadas dos pacotes Flask são as versões 2.3.0, 2.3.1 e 2.2.4 e inferiores. Trata-se de uma possível vulnerabilidade de exposição de informações em que uma resposta contendo dados destinados a um cliente pode ser armazenada em cache por um proxy e enviada a outro cliente. Dependendo de como o proxy lida com os cookies, ele também pode enviar cookies de sessão para um cliente não intencional. A vulnerabilidade exige que determinadas condições sejam atendidas:

1. O proxy de cache que fica na frente do aplicativo da Web do Flask não remove cookies nem ignora respostas com cookies.
2. O aplicativo da Web define o campo session.permanent como True.
3. O aplicativo da Web não acessa nem modifica a sessão em nenhum momento durante uma solicitação.
4. SESSION_REFRESH_EACH_REQUEST está ativado, que é a configuração padrão.
5. O aplicativo da Web não define um cabeçalho Cache-Control para especificar que a página não deve ser armazenada em cache.
6. Se o proxy também armazenar em cache os cabeçalhos Set-Cookie, ele também poderá enviar o cookie de sessão de um cliente para um cliente não intencional.

Essa vulnerabilidade é causada pelo fato de as versões vulneráveis do Flask não definirem o cabeçalho Vary: Cookie quando a sessão é atualizada sem ser acessada ou modificada.

Mitigação

• Essa vulnerabilidade foi corrigida nas versões 2.2.5 e 2.3.2 do pacote Flask. Recomenda-se a atualização para essas versões.