Найдена новая Zero Day XSS уязвимость в WordPress 4.2

Кликки Ой описал новую XSS-уязвимость, которая затрагивает комментарии и существует в WordPress 4.2, 4.1.2, 4.1.1 и 3.9.3. Эта уязвимость позволяет неаутентифицированному злоумышленнику провести инъекцию JS с помощью комментариев. Действие вызывается тогда, когда администратор просмотрел комментарий.

«Если комментарий просмотрен администратором, злоумышленник мог использовать уязвимость для выполнения произвольного кода на сервере через редакторы плагинов и тем.

Альтернативно злоумышленник мог сменить пароль администратора, создать новые администраторские аккаунты, либо сделать что-то еще, что может делать вошедший администратор в целевой системе».

Данная уязвимость напоминает ту, которая была отмечена Седриком Ван Бокхавеном в 2014 году, которая была исправлена в новом релизе безопасности WordPress 4.1.2. В обоих случаях злоумышленник публиковал очень длинный комментарий, чтобы вызвать превышение размера типа MySQL TEXT, что приводило к урезанию комментария, который затем добавлялся в базу данных.

«Урезание выливалось в уродливый HTML-код, генерируемый на странице. Злоумышленник мог вводить любые атрибуты в разрешенные HTML-теги, точно так же, как в случае с двумя недавно опубликованными XSS-уязвимостями, затрагивающими ядро WordPress.

В этих двух случаях инъецируемый JS, очевидно, не может быть вызван в консоли администратора, поэтому данные эксплойты требуют обхода модерации комментариев – к примеру, для начала публикуется вполне безопасный комментарий».

Патч от команды безопасности WordPress должен поступить в ближайшее время. В данный момент команда не может предоставить ETA, однако пользователи могут кое-что сделать самостоятельно.

«Самый лучший вариант – установить Akismet, который уже был сконфигурирован, чтобы блокировать эту атаку, либо отключить комментарии», отмечает участник ядра Гэри Пендергаст. «JS блокируется wp_kses(). Akismet блокирует эту атаку, которая обходит защиту wp_kses()».

Пользователи WordPress могут временно отключить комментарии, пока патч не будет выпущен командой безопасности WordPress.

Видео:

Источник: wptavern.com, klikki.fi

Блог про WordPress
Комментарии: 2
  1. Стас

    Проверял, работает ли ваш совет! Спасибо за статью. Проверю у себя. Я так понял, такой комент не опубликуется.
    А если модерация комментариев в ручную

    1. Дмитрий (автор)

      Естественно, работает. У меня же последняя версия стоит WP. :)

Добавить комментарий для Стас Отменить ответ

Получать новые комментарии по электронной почте.