HubSpot WordPress 插件漏洞

WPScan 和美国政府国家漏洞数据库发布了关于在 HubSpot WordPress 插件中发现的漏洞的通知。 该漏洞将插件的用户暴露给服务器端请求伪造攻击。

WPScan 漏洞报告

WPScan 的安全研究人员发布了以下报告：

“HubSpot

描述

该插件不会验证提供给代理 REST 端点的代理 URL，这可能允许具有 edit_posts 功能的用户（默认贡献者及以上）执行 SSRF 攻击”

服务器端请求伪造 (SSRF) 漏洞

此漏洞需要贡献者级别的订阅者登录才能发生暴露。

非营利性开放 Web 应用程序安全项目 (OWASP) 是一个致力于软件安全的全球性组织，SSRF 漏洞可能导致本不应该暴露的内部服务暴露。

根据 OWASP：

“在服务器端请求伪造 (SSRF) 攻击中，攻击者可以滥用服务器上的功能来读取或更新内部资源。

攻击者可以提供或修改服务器上运行的代码将读取或提交数据的 URL，通过仔细选择 URL，攻击者可能能够读取服务器配置（例如 AWS 元数据），连接到启用 http 等内部服务数据库或对不打算公开的内部服务执行发布请求。”

不应该公开的服务是：

• “云服务器元数据
• 数据库 HTTP 接口
• 内部 REST 接口
• 文件——攻击者可能能够使用 URI 读取文件”

HubSpot WordPress 插件

HubSpot WordPress 插件被超过 200,000 个发布者使用。 它提供 CRM、实时聊天、分析和电子邮件营销相关功能。

WPScan 发现的漏洞指出它已在版本 8.8.15 中修复。

但是，记录软件更新内容的更新日志显示 HubSpot WordPress 插件收到了额外的更新以修复其他漏洞。

以下是根据官方更新日志的更新列表，从最旧的更新开始：

= 8.8.15 (2022-04-07) =
* Fix security issue related to proxy URL

= 8.9.14 (2022-04-12) =
* Fix security issue related to form inputs

= 8.9.20 (2022-04-13) =
* Fix security issue related to sanitizing inputs

虽然安全公司 WPScan 和国家漏洞数据库表示该漏洞已在 8.8.15 版本中修复，但根据 HubSpot 插件更改日志，一直到 8.9.20 版本都有进一步的安全修复。

因此，将 HubSpot 插件更新到至少 8.9.20 版本是谨慎的做法，尽管在写作本文时 HubSpot WordPress 插件的绝对最新版本是 8.11.0 版本。

引文

阅读 WPScan 漏洞报告

HubSpot

阅读国家漏洞数据库报告

CVE-2022-1239 详细信息

查看 HubSpot WordPress 插件变更日志

HubSpot WordPress 插件变更日志