三个WordPress插件携带存储型XSS漏洞（CVE-2021-47926-929）

三个WordPress插件携带存储型XSS漏洞（CVE-2021-47926-929）

执行摘要

三个WordPress插件 —— Filterable Portfolio Gallery 1.0、WP Symposium Pro 2021.10 和 Contact Form to Email 1.3.24 —— 每个都携带一个存储型跨站脚本（XSS）漏洞，根据最近几天发布的国家漏洞数据库（NVD）条目，这些漏洞的CVSS评分为6.4（中等严重性）。这些漏洞分别被追踪为CVE-2021-47929、CVE-2021-47927和CVE-2021-47926，允许经过身份验证的攻击者通过未进行清理的输入字段注入持久的JavaScript负载。当其他用户（包括管理员）查看受影响的页面时，注入的脚本在他们的浏览器中执行，使得会话劫持、凭证盗窃或WordPress管理面板内进一步的权限提升成为可能。

技术分析

所有三个漏洞有一个共同的根本原因：在存储和随后在浏览器中渲染之前，对用户提供的输入进行的清理不足。这些漏洞被归类为存储型XSS（CAPEC-592，CWE-79），因为负载被永久保存在服务器上，并提供给每个访问受影响页面的访客。

CVE-2021-47929 — Filterable Portfolio Gallery 1.0

根据NVD条目，Filterable Portfolio Gallery插件版本1.0在用户创建或编辑画廊项目时未能清理标题字段。至少具有贡献者级别访问权限的经过身份验证的攻击者可以将JavaScript负载（例如<img src=x onerror=alert(1)>）注入标题参数中。当任何用户（包括网站管理员）预览或查看画廊时，存储的脚本执行。该插件通过供应商网站filterable-portfolio.com分发。

CVE-2021-47927 — WP Symposium Pro 2021.10

WP Symposium Pro插件，WordPress的社交网络扩展，在其论坛功能中包含一个存储型XSS漏洞。NVD报告称，admin setup页面上的wps_admin_forum_add_name参数没有得到适当的清理。经过身份验证的攻击者可以提交一个POST请求，其中包含论坛名称字段中的JavaScript代码。负载被存储，并在每次加载论坛列表页面时呈现，影响所有浏览论坛的用户。该插件可在wpsymposiumpro.com获取。

CVE-2021-47926 — Contact Form to Email 1.3.24

由dwbooster.com开发的Contact Form to Email插件（版本1.3.24）允许经过身份验证的用户创建和管理表单。NVD条目表明，表单名称字段缺乏输出编码。攻击者可以制作包含<script>标签或事件处理程序的表单名称。当其他登录用户访问WordPress管理仪表板中的表单管理页面时，恶意脚本执行。这尤其危险，因为管理仪表板上下文暴露了敏感操作和Cookie。

所有三个CVE的CVSS v3.1基础得分为6.4，向量字符串表明网络攻击向量、低攻击复杂性、低权限要求和范围变化。范围变化反映了注入的脚本在受害者会话的上下文中执行，这可能与攻击者的会话有不同的权限。

缓解措施与建议

网站管理员应立即识别是否安装了这三个插件中的任何一个，并检查相应供应商是否有可用的更新。截至本文撰写时，NVD条目没有指定修补版本。防御者应考虑禁用或移除插件，直到供应商发布正确清理已识别输入字段的安全更新。对于运行WP Symposium Pro的WordPress站点，管理员可以暂时限制对论坛设置页面的访问权限，仅限于高度可信的用户。对于Filterable Portfolio Gallery和Contact Form to Email，同样的原则适用：限制创建或编辑项目和表单的能力，仅限于需要它们进行合法业务目的的账户。具有XSS签名检测的Web应用程序防火墙（WAF）可能会阻止一些负载，但它们不是应用程序层输入清理的替代品。