2023 年 5 月 5日,网站安全公司Patchstack 披露了一枚高危反映跨站点脚本 XSS 漏洞( CVE-2023-30777)。成功利用该漏洞,未经身份验证的攻击者可以窃取敏感信息并提升他们在受影响的 WordPress 网站上的权限。
和该漏洞一起披露的,还有概念验证 (PoC) 。有趣的是,Akamai 安全情报小组 (SIG) 发布报告称,在概念验证 (PoC) 漏洞公开后大约 24 小时,他们就监测到,有黑客正在积极利用 Patchstack 的文章中提供的示例代码观察到大量扫描和利用活动。
XSS 漏洞
CVE-2023-30777 漏洞源于“admin_body_class”函数处理程序,该函数处理程序未能正确清理钩子的输出值,该钩子控制和过滤 WordPress 管理区域中主体标签的 CSS 类(设计和布局)网站。
‘admin_body_class’ 函数 (Patchstack)
攻击者可以利用插件代码上的不安全直接代码串联,特别是“$this→view”变量,在其组件中添加有害代码(DOM XSS 有效负载),这些代码将传递给最终产品,一个类字符串。插件使用的清理功能“sanitize_text_field”不会阻止攻击,因为它不会捕获恶意代码注入。
通过“current_screen”函数 (Patchstack)访问“this->view”变量开发人员通过实施名为“ esc_attr ”的新函数修复了 6.1.6 版中的缺陷,该函数正确清理了 admin_body_class 挂钩的输出值,从而防止了 XSS。