Descobriu-se que o Smash Balloon Social Post Feed, um plugin do WordPress, apresenta uma vulnerabilidade que expõe os sites a permitir que um invasor carregue scripts maliciosos. Os pesquisadores de segurança do Jetpack descobriram a vulnerabilidade e notificaram os editores do plug-in que o corrigiram e lançaram uma versão corrigida, a versão 4.0.1. As versões anteriores a essa são vulneráveis.

Smash Balloon Social Post Feed

O plugin Smash Balloon Social Post Feed WordPress pega os feeds do Facebook e os transforma em posts em um site WordPress.

A versão gratuita do plug-in foi projetada para exibir as postagens do Facebook de uma forma que corresponda à aparência do site em que o conteúdo do Facebook é republicado. A versão “profissional” paga também republica imagens, vídeos e comentários.

Script entre sites armazenados por meio de atualização de configuração arbitrária

Uma exploração de Stored Cross-Site Scripting (Stored XSS) é uma forma de vulnerabilidade de cross-site scripting que permite que um invasor mal-intencionado carregue e armazene permanentemente scripts prejudiciais no próprio servidor.

O Open Web Application Security Project (OWASP), sem fins lucrativos, descreve vulnerabilidades de XSS armazenado:

“Ataques armazenados são aqueles em que o script injetado é permanentemente armazenado nos servidores de destino, como em um banco de dados….
A vítima então recupera o script malicioso do servidor quando solicita as informações armazenadas. ”

Ausência de verificações de privilégio e nonce

O aviso de segurança publicado pela Jetpack anunciou que o plugin Smash Balloon Social Post Feed WordPress tinha dois problemas de segurança que o tornaram um problema de segurança. As verificações de privilégio e Nonce estavam faltando.

Os ataques XSS podem acontecer normalmente onde quer que haja uma maneira de fazer upload ou inserir algo em um site WordPress. Pode ser por meio de um formulário, nos comentários, onde quer que um usuário possa inserir os dados.

Um plugin do WordPress deve proteger o site realizando verificações, entre elas a verificação do nível de privilégio de um usuário (assinante, editor, administrador).

Sem uma verificação de privilégio adequada, um usuário no nível mais baixo, como um assinante, é capaz de realizar ações que normalmente requerem os níveis mais altos de acesso, como privilégios de nível de administrador.

Um nonce é um token de segurança de uso único que visa proteger as entradas de ataques.

A documentação do WordPress Nonce explica o valor dos nonces:

“Se o seu tema permite que os usuários enviem dados; seja no Admin ou no front-end; nonces podem ser usados para verificar se um usuário pretende executar uma ação e são fundamentais na proteção contra Cross-Site Request Forgery (CSRF).
Um exemplo é um site WordPress em que usuários autorizados têm permissão para enviar vídeos.”

O Jetpack identificou uma vulnerabilidade no plug-in Smash Balloon que falhou ao executar as verificações de privilégio e nonce, o que abriu o site para ataques.

Jetpack descreveu como a vulnerabilidade expôs sites:

“A ação AJAX wp_ajax_cff_save_settings, que é responsável por atualizar as configurações internas do plug-in, não executou nenhuma verificação de privilégio ou nonce antes de fazer isso. Isso possibilitou que qualquer usuário conectado chamasse essa ação e atualizasse qualquer uma das configurações do plug-in.
Infelizmente, uma dessas configurações, customJS, permite que os administradores armazenem JavaScript personalizado nas postagens e páginas de seus sites. Atualizar essa configuração é tudo o que seria necessário para um agente mal-intencionado armazenar scripts maliciosos no site. ”

O changelog do plugin do Smash Balloon Social Post Feed WordPress, que registra o que cada atualização de versão contém, observa corretamente que um problema de segurança foi corrigido.

Ele não é apenas responsável por consertar vulnerabilidades em tempo hábil, o que o Smash Balloon fez, mas também é responsável por anotá-lo no changelog, o que o Smash Balloon também fez.

O changelog afirma:

“Correção: reforço de segurança aprimorado.”

Captura de tela do Smash Balloon Social Post Feed Changelog

Ação recomendada

O Smash Balloon Social Post Feed foi recentemente corrigido para corrigir o ataque de XSS armazenado que permite que scripts maliciosos sejam carregados.

O Jetpack recomenda atualizar o Smash Balloon Social Post Feed para a versão mais recente, que é a versão 4.0.1. Não fazer isso pode tornar a instalação do WordPress insegura.