Разработчики из Automattic, создателя проекта WordPress.com и некоторых ключевых сервисов для этой популярной CMS, устранили опасную уязвимость сохраняемого межсайтового скриптинга в Akismet — анти-спам-плагине, используемом на миллионах веб-сайтов.

По заявлению Кристофера Финке (Christopher Finke), инженера из Automattic, работающего над Akismet, баг был устранен в обновлении до версии 3.1.5, вышедшей в минувший вторник.

Плагин Akismet предназначен для фильтрации спам-контента в легитимных комментариях и трекбеках на сайтах WordPress. Плагин используется более чем 3 млн пользователей, скоро ему исполнится 10 лет.

Исследователи из Sucuri, обнаружившие уязвимость в начале этого месяца, в своем отчете описывают ее как весьма опасную. Эксплойт уязвимости возможен через секцию комментариев на сайтах, использующих Akismet версии 2.5.0 и выше. Уязвимость вызвана настройкой блокировки эмотиконов «Конвертировать эмотиконы 🙂 и 😛 в графику при отображении». В случае эксплойта, возможного при дефолтных настройках WordPress, атакующий получает возможность внедрять вредоносный код в секцию комментариев в панели администратора, предупреждают эксперты Sucuri.

Используя определенный код, злоумышленник может сломать атрибуты заголовка, внедрить новые параметры или вынудить браузер обработать вредоносную нагрузку.

«Эксплойт уязвимости способен приводить к различным последствиям, в том числе к полной компрометации сайта», — пишет исследователь Марк-Александр Монпа (Marc-Alexandre Montpas) из Sucuri.

Как отмечают представители WordPress, даже старые версии Akismet блокировали попытки исполнения кода на этапе проверки комментариев при обработке вызова API. Они также заявили, что фактов эксплойта уязвимости itw зафиксировано не было.

По словам Финке, команда разработчиков WordPress выпустила автоматическое обновление, которое должно устранить уязвимость на всех сайтах, использующих Akismet.

Можно также скачать новую версию плагина, следуя инструкциям в разделе «Обновления» в консоли WordPress, или скачать zip-файл непосредственно из каталога плагинов.

За текущий месяц это уже вторая XSS-уязвимость, обнаруженная в важном плагине для WordPress. Две недели назад разработчики устранили уязвимость в контактной форме плагина Jetpack, также включенного по умолчанию.

Категории: Главное, Уязвимости