在本周的文摘中,我们将讨论以下内容:
- 一个高度流行的WordPress插件Advanced Custom Fields中存在XSS漏洞;
- cPanel XSS 漏洞;以及
- Flask中潜在的信息暴露漏洞
cve-2023-30777:Advanced Custom Fields (ACF) and ACF Pro WordPress Plugin:未经认证的XSS
背景介绍
高级自定义字段(ACF)和ACF Pro,分别是ACF插件的免费版和专业版,是一个非常受欢迎的WordPress插件,活跃安装量超过200万。这个插件使在WordPress编辑屏幕上添加和管理内容字段变得容易。你可以阅读这里,了解如何在Linode计算实例上旋转你自己的WordPress网站。
脆弱性
被追踪的CVE-2023-30777漏洞存在于ACF和ACF Pro插件6.1.5及以下版本。这是一个反射式XSS漏洞,攻击者可以通过诱导用户访问一个精心制作的URL,在有漏洞的网站上注入恶意脚本。如果受害者是一个有特权的用户,攻击者有可能窃取敏感信息,如cookies或会话令牌,并提升他们的权限。
该漏洞存在于函数处理程序admin_body_class中,它没有对传递给变量的用户输入进行适当的消毒。这使得攻击者可以直接将有害的代码,如DOM XSS有效载荷,串联到包含body class字符串的变量中。
缓解
- 这个漏洞已经在6.1.6版本的插件中被修复。强烈建议将该插件更新到最新版本。
CVE-2023-29489: cPanel:cpsrvd错误页面上的XSS,通过无效的Web调用
背景介绍
cPanel是一个广泛使用的虚拟主机控制面板,被网站所有者、管理员和主机提供商用来管理和控制他们网站和主机账户的各个方面。它提供了一个基于Linux的图形用户界面,使用户能够轻松地管理他们的网站文件,创建电子邮件帐户,设置数据库,安装应用程序,管理域名和子域,并执行其他各种管理任务。
脆弱性
该漏洞被追踪为CVE-2023-29489,是11.109.9999.116之前的cPanel版本中存在的一个反射式XSS。当一个无效的网络调用被调用时,该漏洞就会出现,其ID包含XSS内容。该漏洞存在于cpsrvd二进制文件中,它为cPanel提供核心功能。它通过cpsrvd错误页面对用户提供的内容进行不适当的验证。当错误页面包含XSS内容时,会触发XSS攻击。这个漏洞不需要任何验证,甚至影响到没有对外暴露的管理端口。
缓解
- 该漏洞已在11.109.9999.116、11.108.0.13、11.106.0.18和11.102.0.31版本中修复。建议升级到这些版本以修复这个问题。
cve-2023-30861:Flask:永久会话cookie的潜在信息暴露
背景介绍
Flask是一个用Python 编写的轻量级网络应用程序框架。它通过利用Python 编程语言提供了一种简单而灵活的方式来构建网络应用程序。它专注于简单性和可扩展性,不强加任何特定的结构化应用程序的方式。Flask也有一个丰富的扩展生态系统,允许开发者选择他们项目所需的组件。
脆弱性
该漏洞被追踪为CVE-2023-30861。受影响的Flask包版本为2.3.0、2.3.1和2.2.4及以下版本。这是一个潜在的信息暴露漏洞,包含用于一个客户的数据的响应可能被代理缓存并发送给另一个客户。根据代理机构处理cookie的方式,它也可能将会话cookie发送给非预期的客户。该漏洞需要满足特定条件:
- 坐落在Flask网络应用程序前面的缓存代理不会剥离cookie或忽略带有cookie的响应。
- Web应用程序将session.permanent字段设置为True。
- 网络应用程序不会在请求期间的任何时候访问或修改会话。
- SESSION_REFRESH_EACH_REQUEST被启用,这是默认设置。
- 网络应用程序没有设置Cache-Control标头来指定页面不应该被缓存。
- 如果代理机构也缓存Set-Cookie头信息,它也可能将客户的会话cookie发送给非预期的客户。
该漏洞是由于Flask的脆弱版本没有设置Vary:Cookie头,当会话被刷新而未被访问或修改时。
缓解
- 该漏洞已在Flask软件包2.2.5和2.3.2版本中得到修补。建议升级到这些版本。
注释