Resumen rapido
* XSS reflejado en Wordpress 4.5.1
* Reportado a finales de abril
* Arreglado en Wordpress 4.5.2
Introduccion
Wordpress 4.5.1 es vulnerable frente a un xss reflejado que se deriva de un proceso de inseguro de sanatizacion en la URL en el archivo flashmediaelement.swf. El codigo en el archivo intenta quitar FlashVars (https://helpx.adobe.com/flash/kb/pass-variables-swfs-flashvars.html)en caso de que se establezcan parametros en GET, pero no lo hace, lo que permite el XSS a traves de ExternalInterface (http://help.adobe.com/en_US/FlashPlatform/reference/actionscript/3/flash/external/ExternalInterface.html).
El ataque fue descubierto por primera vez por Soroush Dalili en 2013 (https://soroush.secproject.com/blog/2013/10/catch-up-on-flash-xss-exploitation-bypassing-the-guardians-part-1/). La vulnerabilidad en flashmediaelement.swf fue descubierta en abril del 2016, identificado por primera vez como SOME bug por Kinugawa (http://www.benhayak.com/2015/06/same-origin-method-execution-some.html). Entonces despues de una revision en equipo, el potencial XSS fue descubierto y analizado por Heiderich, Kinugawa y Inführ. Por ultimo, se ha descubierto, que este archivo viene empaquetado con la ultima version de Wordpress y el problema se reporto a traves de HackerOne (https://hackerone.com/)por Heiderich et al.
PoC: http://ejemplo.com/wp-includes/js/mediaelement/flashmediaelement.swf?jsinitfunctio%gn=alert`1` (http://ejemplo.com/wp-includes/js/mediaelement/flashmediaelement.swf?jsinitfunctio%gn=alert%601%60)
Post Original y para ver como funciona el ataque por dentro:
https://gist.github.com/cure53/df34ea68c26441f3ae98f821ba1feb9c (https://gist.github.com/cure53/df34ea68c26441f3ae98f821ba1feb9c)