За последнее время большинство проблем с безопасностью платформы WordPress были связаны с уязвимыми плагинами, однако на днях финский исследователь раскрыл детали 0-day-уязвимости в движке ядра WordPress 4.2 и более ранних версий, открывающей возможность удаленного исполнения кода.

Йоуко Пюннёнен (Jouko Pynnönen) из Klikki Oy сообщил о новой незакрытой XSS-уязвимости в платформе WP; схожий баг был недавно пропатчен разработчиками WordPress — через 14 месяцев после его обнаружения.

Новая уязвимость позволяет атакующему внедрить JavaScript в поле ввода комментариев; комментарий должен содержать не менее 66 тыс. символов, скрипт же срабатывает при его просмотре, отметил эксперт.

«Неаутентифицированный атакующий получает возможность внедрять JavaScript на страницы WordPress и в записи в блогах. Если срабатывание скрипта вызовет администратор, это приведет к исполнению кода на стороне сервера при настройках по умолчанию, — заявил Пюннёнен. — Для эксплойта используется поле ввода комментариев. Скрипт срабатывает при просмотре записи или страницы, на которой был размещен комментарий, но не срабатывает при просмотре через административную панель. Если включена модерация комментариев (настройки по умолчанию), то комментарий не появится на странице, пока не будет одобрен администратором или модератором. При настройках по умолчанию, после того как один «безвредный» комментарий был одобрен, атакующий может действовать, не опасаясь дальнейшей модерации, и внедрять эксплойт на другие страницы и записи в блогах».

По мнению Пюннёнена, лучшим решением до выхода патча будет отключение комментариев и прекращение использования функции Approve.

«Поскольку эти уязвимости присутствуют в дефолтных установках WordPress, они имеют больший охват как в публичном сегменте Интернета, так и во внутренних сетях, — заявил Тод Бёрдсли (Tod Beardsley), руководитель отдела разработки Rapid7. — К тому же новейшая уязвимость до сих пор не пропатчена вендором, так что администраторам WordPress стоит подумать, установить ли защитный плагин или же полностью отключить комментарии, пока не появится патч».

На прошлой неделе был выпущен патч для версий WordPress 4.2 и 4.1.2, устранивший уязвимость, обнаруженную Седриком ван Бокхавеном (Cedric Van Bockhaven) в начале 2014 года. Данный баг требует использования особых символов в комментарии, что приводит к некорректному усечению строки и позволяет атакующему исполнить произвольный код.

Пюннёнен не стал сообщать разработчикам WordPress о найденной им уязвимости, поскольку у них ушло 14 месяцев на написание кода, способного обнаруживать некорректные символы в комментариях.

«Все это время сервера WordPress, использующие базовые настройки относительно комментариев, были крайне уязвимы к взлому, — отметил он. — А теперь выясняется, что разработчикам так и не удалось все сделать правильно. Видимо, политика разглашения помогает снизить риски для пользователей WordPress и ускорить разработку патчей».

По словам Пюннёнена, в ноябре он передал отчет еще об одной уязвимости WordPress, также до сих пор не пропатченной, несмотря на прямые запросы на разработку патчей, сделанные им через платформу HackerOne и финскую CERT.

«Общаться с разработчиками WordPress очень тяжело, — сетует эксперт. — У меня сложилось впечатление, что они просто игнорируют все запросы. От них так и не последовало объяснений, почему уязвимость до сих пор не пропатчена. Это должно было случиться еще в ноябре. Все версии WordPress остаются уязвимыми».

Категории: Главное, Уязвимости