A investigação por parte da Wordfence permitiu descobrir uma falha no plugin de Wordpress HTML Mail, através da qual o atacante conseguia executar código javascript malicioso e, dessa forma, modificar o template de email para conter dados arbitrários e desencadear ataques de phishing em nome do site ou serviço comprometido.

Esta falha recebeu o CVE-2022-0218, de criticidade alta.

O plugin registava o endpoint themesettings, que por sua vez chamava a função responsável por guardar o "tema" do template ou configurações do mesmo (saveThemeSettings). Ora, esse mesmo endpoint usava uma função de callback relacionada com as permissões, mas tinha o valor return_true, ou seja, não exigia qualquer tipo de autenticação, e portanto, qualquer utilizador conseguia executar esse mesmo endpoint e guardar as configurações do tema.

Versão corrigida

3.1

Solução

Atualizar o plugin WP HTML Mail

Download do plugin original de wordpress: https://pt.wordpress.org/plugins/wp-html-mail/

Mais informações acerca da falha: https://www.wordfence.com/blog/2022/01/unauthenticated-xss-vulnerability-patched-in-html-email-template-designer-plugin/