Czasem niektóre problemy z zakresu bezpieczeństwa informacji nie wynikają z błędów w programach, a z ich niewłaściwej konfiguracji. Jeden z internautów zauważył, że konfiguracja popularnej wtyczki WordPressa może ujawniać poufne informacje.
Wczoraj na liście Full Disclosure pojawiła się informacja o możliwych problemach z konfiguracją wtyczki W3 Total Cache. Wtyczka ta, pobrana przez ponad milion użytkowników, poprawia wydajność WordPressa poprzez tworzenie i przechowywanie statycznych kopii najczęściej serwowanych fragmentów serwisu. Pozwala to odciążyć bazę danych oraz obsłużyć większą liczbę użytkowników naraz. Wygląda także na to, że nie zawsze poprawnie konfiguruje ona dostęp do kluczowych katalogów.
Wtyczka przechowuje statyczne kopie danych w katalogu /wp-content/w3tc. Można tam odnaleźć nie tylko kopie stron www, ale także elementy zapytań do bazy danych, które czasem mogą zawierać na przykład hashe haseł użytkowników lub inne poufne informacje. Przykładowy ujawniony plik może wyglądać tak:
a:6:{s:10:"last_error”;s:0:”";s:10:”last_query”;s:41:”SELECT * FROM wp_users WHERE ID = ’10′”;s:11:”last_result”;a:1:{i:0;O:8:”stdClass”:10:{s:2:”ID”;s:2:”15″;s:10:”user_login”;s:21:”Guest”;s:9:”user_pass”;s:34:”$P$BPtuFcIxGXXXX2MJbBCN4dxJ1″;s:13:”user_nicename”;..
W domyślnej konfiguracji wtyczka ta nie wyłącza indeksowania katalogów, umożliwiając ich przeglądanie wyszukiwarkom oraz ciekawskim internautom. Mimo, iż wtyczka modyfikuje zawartość pliku .htaccess, to nie umieszcza tam reguł uniemożliwiających indeksowanie katalogów.
W przypadku, gdy katalogi nie mają włączone indeksowania, pliki z kopiami zapytań do bazy danych dalej są dostępne dla każdego użytkownika. Co prawda zlokalizowanie poufnych danych wymaga sporej ilości zapytań, ale można ułatwić sobie zadanie korzystając z gotowego skryptu wykonującego czarną robotę. Poniżej krótka demonstracja jego działania.
Użytkownikom wtyczki proponujemy szybką weryfikację uprawnień do plików i folderów (i dopisanie deny from all do .htaccess w katalogu /wp-content/w3tc/dbcache). Autor wtyczki wie już o problemie i obiecuje szybką aktualizację.
PS. Serdecznie pozdrawiamy użytkownika hosta dynamic-78-8-67-xxx.ssp.dialog.net.pl, który już pół godziny temu testował podatność naszego serwisu na ten błąd.
Komentarze
Kurde, ładny ten kod :/ Zazdroszczę twórcy skilla.
To chyba dobrze, że Was testował ;)
nie w /wp-content/w3tc a w /wp-content/w3tc/dbcache, inaczej polegnie funkcjonalność kompresowania JS i CSS (w w3tc w katalogu min znajduje się zawartość która musi być wystawiana na zewnątrrz
Artur
Słuszna uwaga, poprawione
inurl:/wp-content/w3tc/dbcache
uuu ostroo….