Warum besteht diese Sicherheitslücke? CVE-WPForms)

In den letzten Tagen ist mir aufgefallen, dass die Schwachstelle CVE-2024-11205 (CVSS 8.5) im Wordpress WPForms-Plugin viel Aufmerksamkeit erregt hat. Hauptsächlich aus 3 Gründen:

• WPForms ist ein weit verbreitetes Plugin mit über 6 Millionen aktiven Installationen (Sites, die es verwenden)
• Es handelt sich um eine Sicherheitslücke mit hoher Kritikalität
• Es ist bizarr einfach zu verstehen

Der ursprüngliche Wordfence-Beitrag hat die Sicherheitslücke und ihre Folgen bereits hervorragend erläutert. Daher ist mein Ziel hier ein anderes: zu theoretisieren, wie eine so bizarr einfache Sicherheitslücke in einem der am häufigsten verwendeten WordPress-Plugins mehr als ein Jahr lang offen blieb.

Verletzlichkeit

Ich erinnere mich an die Informationen aus dem ursprünglichen Beitrag. Das Plugin verwendet die Funktionen ajax_single_ payment_refund() und ajax_single_ payment_cancel(), um Stripe-Zahlungsaktionen abzuwickeln. Es erfolgt jedoch keine Überprüfung, ob der angemeldete Benutzer die Berechtigung zur Durchführung solcher Aktionen hat ⚰️. Um das Ganze abzurunden, wurden die Funktionen durch die Methode wpforms_is_admin_ajax „geschützt“, die einfach nicht prüft, ob der Benutzer ein Administrator ist, wie manche vielleicht denken.

Fix

Beginnend mit der Schwachstellenminderung besteht die offizielle Lösung darin, auf Version 1.9.2.2 zu aktualisieren. In dieser Version des Codes wurde den beiden Funktionalitäten ajax_single_ payment_refund und ajax_single_ payment_cancel eine Autorisierungsvalidierung hinzugefügt. Allerdings wurde wpforms_is_admin_ajax unverändert beibehalten?.

Wann ist die Sicherheitslücke aufgetreten?

Die erste anfällige Version ist WPForms 1.8.4, die am 28. November 2023 veröffentlicht wurde. Die Version führte „Neue Stripe-Zahlungstools“ ein, darunter unter anderem „Synchronized Stripe Dashboard“ und „Logic for Recurring Payments“.

Als Änderungen brachte das Update das Hinzufügen von 15 neuen Dateien, das Löschen von 64 Dateien und die Bearbeitung von 425 Dateien. Klingt nach einer großartigen Veröffentlichung, die jemand manuell überprüfen kann ☠️.

Warum besteht die Sicherheitslücke?

Können automatisierte Sicherheitstools erkennen?

Um diese Frage zu beantworten, habe ich SAST Semgrep (das ich sehr gerne verwende) und Gepeto (auch bekannt als ChatGPT) getestet.

Semgrep

Ich habe ein Semgrep ausgeführt. im gesamten Projekt und er konnte die Schwachstelle nicht erkennen?.

Das Ergebnis ist wie erwartet. Offiziell gelten Sicherheitslücken bei Autorisierungsfehlern als Sicherheitslücken in der Geschäftslogik. Das bedeutet, dass sie von automatisierten Tools kaum erkannt werden.

Die Common Weakness Enumeration CWE-862 Missing Authorization scheint zu stimmen.

Geppetto

Ich habe ChatGPT gefragt, ob er irgendwelche Probleme im vergangenen Code identifizieren könnte. Ich habe ihm nur die Methoden ajax_single_paid_refund und wpforms_is_admin_ajax geschickt (weil ich mein kostenloses ChatGPT für diesen Tag nicht verbrauchen möchte?).

Und unglaublicherweise gelang es ihm, die Schwachstelle zu identifizieren und auf die Lösung hinzuweisen (die der tatsächlichen Behebung sehr ähnlich war?), neben anderen „möglichen Schwachstellen“ in diesem Code, wie z. B. keine Geschwindigkeitsbegrenzung oder Protokollierung.

„Ahh, aber Sie haben SAST für das gesamte Projekt ausgeführt und gleichzeitig die KI geleitet“ ist das Leben wirklich so? ?‍♂️

Warum besteht die Sicherheitslücke?

Wie man sieht, können herkömmliche Sicherheitstools Autorisierungsschwachstellen kaum erkennen.

Laut CWE-862 Missing Authorization kann diese Schwachstelle mithilfe manueller Analysen wie Codeüberprüfung, Pentest und Bedrohungsmodellierung erkannt werden. Und die Wirksamkeit wird nur als „mäßig“ eingestuft?.

Andere Materialien, in denen es um Autorisierungsschwachstellen geht, bekräftigen, dass es sich hierbei um eine Klasse von Schwachstellen handelt, deren Handhabung kompliziert und in der realen Welt häufig vorkommt, wie zum Beispiel OWASP Top 10 API Security 2019 und 2023, bei dem es an erster und dritter Stelle um Autorisierungsschwachstellen geht Position.

Ein weiterer Punkt ist, dass die zuvor als Validierung verwendete Methode (wpforms_is_admin_ajax) einen sehr schlechten Namen hat, der Entwickler und Codeprüfer verwirren soll, da diese Funktion nicht prüft, ob der angemeldete Benutzer ein Administrator ist.

Meine Theorie ist also, dass diese Sicherheitslücke besteht, weil 1) sie ohne manuelle Analyse fast unmöglich zu erkennen ist; 2) Die Methode wpforms_is_admin_ajax würde viele Prüfer verwirren, die den Code analysieren.

Ich hoffe, in Zukunft weitere Analysen wie diese anbieten zu können. Wenn es Ihnen gefallen hat, teilen Sie den Beitrag mit Tante und Oma. Zweifel? Ich bin immer auf Bluesky, Threads und Twitter.

Das obige ist der detaillierte Inhalt vonWarum besteht diese Sicherheitslücke? CVE-WPForms). Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!