Descobriu-se que o popular Beaver Builder WordPress Page Builder contém uma vulnerabilidade XSS que pode permitir que um invasor injete scripts no site que serão executados quando um usuário visitar uma página da web.
Construtor de Castor
Beaver Builder é um plugin popular que permite a qualquer pessoa criar um site com aparência profissional usando uma interface fácil de arrastar e soltar. Os usuários podem começar com um modelo predefinido ou criar um site do zero.
Vulnerabilidade de script entre sites armazenados (XSS)
Pesquisadores de segurança do Wordfence publicaram um comunicado sobre uma vulnerabilidade XSS que afeta o plugin do construtor de páginas. Uma vulnerabilidade XSS normalmente é encontrada em uma parte de um tema ou plug-in que permite a entrada do usuário. A falha surge quando há filtragem insuficiente do que pode ser inserido (processo denominado sanitização de insumos). Outra falha que leva a um XSS é o escape de saída insuficiente, que é uma medida de segurança na saída de um plugin que impede a passagem de scripts prejudiciais para o navegador de um site.
Esta vulnerabilidade específica é chamada de XSS armazenado. Armazenado significa que um invasor é capaz de injetar um script diretamente no servidor web. Isso é diferente de um XSS refletido, que exige que a vítima clique em um link para o site atacado para executar um script malicioso. Um XSS armazenado (como afeta o Beaver Builder) é geralmente considerado mais perigoso do que um XSS refletido.
As falhas de segurança que deram origem a uma vulnerabilidade XSS no Beaver Builder foram devidas à limpeza insuficiente de entrada e ao escape de saída.
Wordfence descreveu a vulnerabilidade:
“O plug-in Beaver Builder – WordPress Page Builder para WordPress é vulnerável a scripts entre sites armazenados por meio do Button Widget do plug-in em todas as versões até 2.8.0.5, inclusive, devido à limpeza insuficiente de entrada e escape de saída em atributos fornecidos pelo usuário. Isso possibilita que invasores autenticados, com acesso de nível de contribuidor e superior, injetem scripts da web arbitrários em páginas que serão executadas sempre que um usuário acessar uma página injetada.”
A vulnerabilidade é classificada como 6,4, uma ameaça de nível médio. Os invasores devem obter pelo menos níveis de permissão no nível do contribuidor para poder lançar um ataque, o que torna esta vulnerabilidade um pouco mais difícil de explorar.
O changelog oficial do Beaver Builder, que documenta o que está contido em uma atualização, observa que um patch foi lançado na versão 2.8.0.7.
O changelog observa:
“Corrigir problema de XSS em módulos de botão e grupo de botões ao usar lightbox”
Ação recomendada: Geralmente é uma boa prática atualizar e corrigir uma vulnerabilidade antes que um invasor consiga explorá-la. É uma prática recomendada preparar o site primeiro, antes de colocar uma atualização no ar, caso o plug-in atualizado entre em conflito com outro plug-in ou tema.
Leia o comunicado do Wordfence:
Beaver Builder – WordPress Page Builder <= 2.8.0.5 – Scripting entre sites armazenados autenticados (Contributor+) via botão
Veja também:
Imagem em destaque por Shutterstock/Prostock-studio
