Уязвимости в WordPress не теряют привлекательности для хакеров, оперирующих эксплойт-паками, и распространителей вымогательского ПО.

Как результат, в текущем году разработчики уже трижды обновляли систему безопасности этой CMS-платформы. В апреле также начался бесплатный перевод на HTTPS всех кастомных доменов, за хостинг которых отвечает WordPress.com.

Новейшие патчи для WordPress вышли в прошлую пятницу, в составе версии 4.5.2. Соответствующие уязвимости актуальны для всех прежних версий платформы.

В информационном бюллетене отмечено, что Plupload, сторонняя библиотека для загрузки файлов, содержит уязвимость типа SOME, Same Origin Method Execution. Атаки SOME основаны на использовании callback-параметра JSONP и грозят теми же проблемами, что и XSS. Исследователь Бен Хаяк (Ben Hayak) делал презентацию о SOME на Black Hat Europe два года назад, а также раскрыл некоторые технические подробности в своем блоге.

Пропатчена также отраженная XSS в другой сторонней библиотеке, MediaElement.js, которая, как следует из имени, обеспечивает функциональность, необходимую для воспроизведения медиаконтента. Данной уязвимости подвержены лишь WordPress версий с 4.2 по 4.5.1.

Свежий апдейт можно получить через загрузки или вручную, из панели администратора (опция Updates).

Одновременно команда WordPress опубликовала информацию о недавно раскрытых уязвимостях в ImageMagick, порекомендовав владельцам WordPress-сайтов, использующих платный хостинг, установить патчи в кратчайшие сроки. Эти бреши уже эксплуатируются itw и в некоторых случаях влекут удаленное исполнение кода.

ImageMagick, ПО с открытым исходным кодом для обработки изображений, используется в ряде плагинов, в том числе работающих в средах PHP, Ruby и Node.js, посему площадь атаки в данном случае велика. Разработчик ImageMagick растиражировал на форумах рекомендации по временной защите и советует добавить код в файл policy.xml:

<policy domain=»coder» rights=»none» pattern=»EPHEMERAL» />
< policy domain=»coder» rights=»none» pattern=»HTTPS» />
< policy domain=»coder» rights=»none» pattern=»MVG» />
< policy domain=»coder» rights=»none» pattern=»MSL» />

«Мы повысили защищенность этих кодеров в ImageMagick 7.0.1-1 и 6.9.3-10 (станут доступными к концу недели), введя санирование HTTPS-параметров и дополнительную политику для предотвращения непрямого считывания, — заявили представители компании. — Если требуется кодер HTTPS, MVG или MSL, вышеуказанной политики достаточно, чтобы предотвратить эксплойт».

Платформу WordPress эти бреши непосредственно не затрагивают, но загруженные изображения могут содержать вредоносный код, способный эксплуатировать подобные уязвимости в библиотеке. Разрешение на загрузку файлов выдается лишь при включенной функции upload_files; по умолчанию эту возможность могут использовать лишь авторы, редакторы и администраторы.

«Эксплойту подвержено PHP-расширение Imagick, а не сама WordPress (и не какая-либо библиотека, поставленная в комплекте), — пишут разработчики WordPress. — Поскольку ImageMagick широко используется в экосистеме WordPress, группа по обеспечению безопасности ищет способы снизить риск эксплойта. Тем не менее эту проблему лучше всего решать на уровне хостинга».

Категории: Уязвимости