В начале текущей недели появился корректирующий выпуск WordPress 4.7.3, устраняющий шесть брешей в этой CMS-системе, в том числе баг, который можно использовать вместе с уязвимостью в REST API, недавно спровоцировавшей массовый дефейс сайтов. Новый баг был привнесен в WordPress 4.7; при наличии патча, пригодного для всех прежних версий, воздействие этого бага, скорее всего, невелико.

Согласно статистике WordPress, 44,8% сайтов работают как минимум на версии 4.7. Все заплатки для CMS бэкпортируются на все предыдущие версии, начиная с 3.7, с выходом которой заработал сервис автоматизированной раздачи патчей. По свидетельству разработчиков, выпуск WordPress 4.7.3 по времени совпал с появлением сборок 3.7.19, 3.8.19, 3.9.17, 4.0.16, 4.1.16, 4.2.13, 4.3.9, 4.4.8, 4.5.7 и 4.6.4; каждая из них содержит патчи для тех же уязвимостей. Таким образом, незащищенными остались лишь пользователи WordPress 3.6 и более ранних версий.

Обновление 4.7.3 включает патч для XSS-уязвимости, найденной исследователями из Sucuri, ранее доложившими о бреши в REST API. По словам участника этой команды Марка Монпа (Marc Montpas), новая XSS была обнаружена в ходе анализа уязвимости в REST API; она срабатывает, если встроенный объект YouTube содержит URL. Эксплойт в данном случае предполагает наличие некоторых привилегий — автора записей или иного создателя контента; в этом случае злоумышленнику удастся внести в публикацию вредоносные сокращенные коды, позволяющие обойти штатную защиту WordPress от межсайтового скриптинга.

«Когда администратор открывает такой пост, происходит исполнение XSS-нагрузки, — пояснил Монпа для Threatpost. — В итоге браузер будет вынужден выполнить действия от имени администратора, к примеру сохранить бэкдор на сайте или создать новый аккаунт с правами администратора. Сама по себе эта уязвимость не очень опасна, так как ее использование требует конкретных привилегий на сайте. Однако в сочетании с багом в REST API, который мы обнаружили в прошлом месяце и который в принципе позволяет всем посетителям редактировать записи на сайте, она может спровоцировать настоящий разгром».

Еще одна ныне закрываемая XSS допускает эксплойт посредством метаданных медиафайла. Изначально ее обнаружил исследователь Крис Дейл (Chris Andrè Dale), причем еще в декабре 2014 года. Теперь, по словам Аарона Кэмпбелла, нового лидера команды WordPress, занимающейся разбором и исправлением ошибок, Йорик Костер (Yorick Koster) из голландской Securify вновь поставил эту брешь на вид разработчикам, так как обнаружил, что созданный ими патч лишь частично решил проблему.

«В итоге может получиться, что администратор или автор загрузит мою картинку и мой JavaScript будет работать в его браузере со 100-процентной скрытностью», — заявил Дейл журналистам Threatpost. Два года назад исследователь рассказал, каким образом автор атаки сможет внедрить XSS-нагрузку в метаданные изображения, а точнее, в EXIF-данные JPEG.

Выпуск WordPress 4.7.3 включает также патч для уязвимости, обнаруженной начинающим исследователем Дэниелом Чэтфилдом (Daniel Chatfield); эта брешь позволяет обойти проверку URL редиректа с помощью управляющих символов. Устранена также проблема, из-за которой администратор сайта, используя функциональность удаления плагинов, мог нечаянно удалить файлы. Еще две уязвимости грозили межсайтовым скриптингом (через имена термов таксономии) и подделкой межсайтовых запросов (использование функции Press This могло привести к истощению ресурсов на сервере).

Категории: Уязвимости