Новые тарифы на хостинг с PHP 7!
29.04.2015 г.

Опасная уязвимость в Wordpress версии 4.2 и ниже

В CMS Wordpress найдена опасная XSS уязвимость системы комментариев. Уязвимость позволяет злоумышленнику внедрить JavaScript в комментарии Wordpress. Уязвимости подвержена CMS Wordpress версии 4.2, 4.1.3, 4.1.2, 4.1.1, 3.9.3 и ниже.

wordpress
 
wordpress
 

Уязвимость была обнаружена Jouko Pynnönen и вся подробная информация опубликована на сайте klikki.fi.

Найденная XSS уязвимость позволяет злоумышленнику исполнять JavaScript, используя форму комментирования в CMS WordPress. Суть уязвимости заключается в том, что стандартные комментарии в Wordpress в таблице БД используют тип TEXT, в котором может хранится 64 кБ данных. При добавлении комментария больше 64 кБ MySQL  обрезает остаток текста комментария, таким образом, что выводятся лишь первые 65 тыс. символов. Эта лазейка позволяет добавить комментарий на сайт Wordpress с проверкой на валидность но при обрезании последней части комментария его содержимое становится опасным для вывода, т.к. может содержать нефильтрованный код JavaScript.

На своем сайте Jouko Pynnönen пишет, что уязвимость опасна при просмотре такого комментария администратором сайта, так, после просмотра комментария администратором, злоумышленник может использовать уязвимость для выполнения произвольного кода на стороне сервера сайта, используя редактор тем или плагинов. Таким образом, с помощью этой уязвимости злоумышленник может менять пароль администратора, создавать новые учетные записи админа и, соответственно, делать все, что может делать авторизированный администратор сайта.

В качестве доказательства уязвимости автор предлагает ввести код в комментарии Wordress:
<a title='x onmouseover=alert(unescape(/hello%20world/.source)) style=position:absolute;left:0;top:0;width:5000px;height:5000px  AAAAAAAAAAAA...[64 kb]..AAA'></a>

А в демо-ролике на своем сайте Jouko показал, как он использовал эту уязвимость в комментариях для того, чтобы залить shell-скрипт в директорию сайта на Wordpress:

Решение XSS уязвимости комментариев в  Wordpress:

Команда Wordpress 27 апреля выпустила патч безопасности 4.2.1 (WordPress 4.2.1 Security Release 27.04.2015), где эта уязвимость устранена. Если Ваш сайт на Wordpress еще не обновился автоматически до актуальной версии, то мы крайне рекомендуем сделать это самостоятельно для устранения опасной уязвимости.
До появления обновления от команды Wordpress Jouko Pynnönen советовал не одобрять комментарии и отключить комментарии полностью.

Проверить есть ли у Вас комментарии больше 65 тыс. символов можно в phpMyAdmin, выполнив SQL-запрос в базе данных сайта на Wordpress:

SELECT comment_ID FROM wp_comments WHERE LENGTH(comment_content) >= 65535;

MySQL вернет или пустой результат или отобразит id комментариев, которые больше 65 тыс. символов и могут быть потенциально опасными. Можно изучить комментарий и выяснить, что злоумышленник хотел сделать этим комментарием на сайте.

Для того, чтобы не пропускать опасные комментарии в Wordpress можно добавить небольшой код, который выполняет проверку на длину текста комментария и не пропускает длинные комментарии Wordpress. Код необходимо добавить в файл functions.php Вашей Wordpress темы (/www/ваш-сайт/wp-content/themes/ваша-тема/functions.php) в самый конец файла перед символами «?>»

/* BEGIN XSS 64WP COMMENT PROTECTION *///////////////
add_filter( 'pre_comment_content', 'xss_comment_64kb_protection');
function xss_comment_64kb_protection( $content ) {
    if ( strlen( $content ) > 64000 ) {
        wp_die( 'Comment is too long!' );
    }
    return $content;
}
/* END XSS 64WP COMMENT PROTECTION *///////////////

 

 

 
« Пред.   След. »
Отзывы клиентов
Блог
Основные FTP команды в Linux

FTP (File Transfer Protocol - протокол передачи файлов) — это популярный сетевой протокол, который используется для копирования файлов с одного компьютера на другой в локальной сети, либо в сети Интернет. FTP является од...

Дальше...
 

Не приходит смс от pp.ua для активации домена - есть решение! Как активировать домен pp.ua без sms через бота Telegram?

 В соответствии с правилами домена pp.ua домен делегируется только после подтверждения регистрации на сайте pp.ua. Для подтв...

Дальше...
 

 


код кнопки:
Мы принимаем: Webmoney Яндекс.Деньги RBK.Деньги Visa и MasterCard Счет юр.лицам Приват 24 Z-Payment MoneyBookers Все способы оплаты
                  
© 2008-2017 HostingHutor.com - Украина, Одесса. Тел/факс: +38 048 7017698 3wave - Дизайн сайтов
Хостинг Хутор: землю - крестьянам, хостинг - вебмастерам! | Бесплатный хостинг | Комплекты видеонаблюдения Вебмастеру в помощь - Askwebmaster