Вниз

29 Апрель 2015

Новая Zero Day XSS уязвимость в Вордпресс, или зачем обновлять CMS

XSS

Специалисты из финской компании Klikki Oy описали одну интересную уязвимость WordPress, которая работает в версиях с 3.9.3 по 4.2. Благодаря данной уязвимости хакер может получить права администратора, всего лишь отправив специальный комментарий. Когда администратор просматривает комментарий, вызывается JS инъекция, и злоумышленник получает возможность выполнять произвольный код на сервере, используя редакторы тем и плагинов.

Кроме того, хакер может создать новые администраторские аккаунты, поменять пароль, адрес электронной почты и выполнить абсолютно все действия, что и вошедший в систему администратор. Следует отметить, что данная дыра в безопасности напоминает уязвимость, которую отметил в 2014 году Седрик Ван Бокхавен, и которая была исправлена с выходом обновления 4.1.2.

И в первом, и во втором случае злоумышленник публиковал комментарий, длина которого превышала MySQL TEXT. Комментарий сначала урезался, а затем добавлялся в базу данных. Урезание провоцировало достаточно уродливый код, генерируемый на целевой странице. Хакер не был ограничен в выборе атрибутов для html тегов. Так что уровень опасности для сайта зависел лишь от мастерства и фантазии злоумышленника.

Хостелы Омска также пострадали от названной выше проблемы: хакерам удалось внедрить в сайты гостиниц вирус, воровавший данные кредитных карт постояльцев во время осуществления оплаты. К счастью, на данный момент угроза устранена.

Новый эксплойт отличается от старого тем, что не может быть вызван в администраторской консоли, поскольку требует обхода модерации. Например, сначала на сайте может быть опубликован нормальный комментарий, не представляющий никакой опасности.

В скором времени команда, занимающаяся безопасностью Вордпресс, обещает выпустить патч CMS, избавляющий от опасности заражения блога через комментарии. До этого момента пользователи могут кое-что сделать и сами. Радикальный вариант – это полностью отключить возможность комментирования на сайте до выхода патча. Если этот вариант вас по каким-либо причинам не устраивает, обязательно установите плагин Akismet, блокирующий весь спам в комментариях.

Особенность сферы компьютерных технологий состоит в том, что продукт, созданный любым программистом, может быть взломан хакером. Разработчики Вордпресс периодически выпускают обновления этой CMS. Обновления касаются не только функционала и дизайна, но и сферы безопасности. Вот почему оставаться на старой версии «движка» - значит подвергать свой сайт неоправданному риску.

Еще из рубрики Заметки

Поделись своими мыслями!

(обязательно)
(обязательно)

Почтовые адреса не публикуются.

Подпишись на комментарии