Uwaga, 0day w najnowszym WordPressie

dodał 27 kwietnia 2015 o 09:41 w kategorii Drobiazgi  z tagami:

Nie każdy badacz najwyraźniej jest zwolennikiem odpowiedzialnej publikacji informacji o podatnościach – firma Klikki Oy opublikowała błąd typu stored XSS w najnowszym WordPressie 4.2, na który nie ma jeszcze łaty.

Aktualizacja 2015-04-27
Podobno WordPress mimo otrzymania zgłoszenia nie zareagował. Jest już także dostępna aktualizacja.

Błąd znajduje się w sposobie zapisywania zbyt długich komentarzy do bazy danych. Standardowo zapisywane są pierwsze 64 kilobajty, przez co odpowiednio długi komentarz zostanie obcięty i pozwoli na przemycenie tagów umożliwiających wstrzyknięcie JavaScriptu. Jeśli taki komentarz zostanie wyświetlony na stronie bloga przez administratora, to może to prowadzić do wykonania dowolnej operacji z jego uprawnieniami – np. zmiany hasła administratora czy dopisania fragmentu kodu PHP do szablonu bloga.

Najprostszą metodą zabezpieczenia jest włączenie obowiązkowej moderacji każdego komentarza – błąd nie działa w panelu administracyjnym, z którego można bezpiecznie złośliwe komentarze usuwać.

Rekomendowane ustawienia

Rekomendowane ustawienia

Według autora odkrycia podatne są co najmniej wszystkie wersje od 3.9.3 do 4.2 włącznie z bazami MySQL 5.1.53 oraz 5.5.41. Poniżej kod P0C oraz demonstracja działania błędu: