WP-Members 插件中的安全漏洞导致脚本注入

根据安全公司 Defiant 的建议，攻击者可以利用 WP-Members Membership WordPress 插件中的高严重性跨站脚本 (XSS) 漏洞将任意脚本注入网页。

该漏洞编号为 CVE-2024-1852，是输入清理和输出转义不充分造成的结果，允许攻击者创建将恶意脚本存储为用户 IP 地址值的帐户。

攻击者可以使用 WP-Members 会员资格的用户注册功能来填写并提交注册表，然后使用代理拦截注册请求，并修改它以包含 X-Forwarded-For 标头，其中包含脚本标记中的恶意负载，Defiant 的Wordfence研究团队表示。

问题是，如果请求中存在 X-Forwarded-For 标头，则插件将使用其值来存储依赖注册表单的任何用户的 IP 地址。

警报称： “由于 HTTP 标头可以被操纵，并且输入未经过净化，因此用户可以提供任何值，包括将存储为用户 IP 的恶意 Web 脚本。”

恶意脚本存储在用户的配置文件中，如果管理员编辑或查看用户帐户，则负载将包含在页面加载时生成的源代码中。

Wordfence 补充道：“重要的是要了解，此恶意代码将在管理员浏览器会话的上下文中执行，并可用于创建恶意用户帐户、将网站访问者重定向到其他恶意网站并执行其他恶意操作。”

在版本 3.4.9.2 中包含部分修复后，WP-Members 会员版本 3.4.9.3 修复了该漏洞。建议用户尽快更新其安装。

WP-Members是一个用户会员插件，拥有超过 60,000 个活跃安装，允许网站所有者轻松设置和管理用户注册、登录和配置文件、设置限制等。

转自安全客，原文链接：https://www.anquanke.com/post/id/295277