Redux Framework is a code structure script that allows you to easily create good looking option pages and adding its own features.
Versions before 3.5.6.8 are victims of a privilege escalation flaw, the scénario for the exploit is not mainstream, here comes the requirement:
- Using a theme with Redux Framework,
- Using a plugin with Redux Framework,
- Having a user with a role that doesn’t have the
manage_options
capability, but still theedit_theme_options
one.
The vulnerable code is in /ReduxCore/framework.php
:
[pastacode lang=”php” message=”” highlight=”” provider=”manual” manual=”%20%20%20%20%20%20%20%20%20%20%20%20public%20function%20ajax_save()%20%7B%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20if%20(%20!%20wp_verify_nonce(%20%24_REQUEST%5B’nonce’%5D%2C%20%22redux_ajax_nonce%22%20)%20)%20%7B%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20echo%20json_encode(%20array(%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20’status’%20%3D%3E%20__(%20’Invalid%20security%20credential.%20%20Please%20reload%20the%20page%20and%20try%20again.’%2C%20’redux-framework’%20)%2C%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20’action’%20%3D%3E%20”%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20)%20)%3B%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20die()%3B%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%7D%0A%2F%2F%20…”/]
The action redux_ajax_nonce
is the same for a theme and a plugin, the token will be the same.
The user that can modify the theme option can not, logically, modify a plugin’s options.
But since the security token (nonce) is the same for each framework instance, even a user without the manage_options
capability can send a request containing the new plugin’s settings, because he knows its security token.
The version 3.5.6.9 fix this token by adding the name of the option to save (it can not be identical for a theme and a plugin).