Update WordPress 4.2.1 opravuje komentářový XSS – ukázka zneužití v článku

Před pár dny (28.4.2015) jsme zažili jednu z nejrychlejších automatických aktualizací WordPress. Opravila bezpečnostní díru, prostřednictvím které se dal provést XSS útok přes komentáře. Bezpečnostní díru objevili odborníci z Klikki Oy.

V ohrožení jsou následující verze WordPress:

  • 4.2
  • 4.1.2
  • 4.1.1
  • 4.1.3
  • 3.9.3

Je zajímavé, že ačkoliv některé WordPress instalace měly zapnutou automatickou aktualizaci tak neproběhla. Přitom většina ostatních, alespoň u mě, byla aktualizována během prvních dvou hodin.

Jen pro zajímavost vzhledem k tomu, že se jedná o útok prostřednictvím komentářů, uživatelé pluginu Akismet by měli být údajně v bezpečí (automaticky vše dává do spamu). Akismet byl přitom nedávno ze základní instalace WordPress odstraněn.

Povaha útoku

Útok se provádí prostřednictvím komentářů, do kterých se vloží JavaScript kód. Ten se spustí v momentě, kdy jej někdo uvidí. Hrozba pro instalaci se stane reálnou, když to bude uživatel s oprávněním administrátora. Co se může stát?

  • Prostřednictvím editoru anebo pluginu dojde k vložení kódu s backdoor.
  • Útočník může vytvořit nového uživatele s oprávněním administrátora anebo změnit heslo stávajícímu.
  • Teoreticky jakoukoliv další akci, kterou může provádět administrátor.

Pokud je text dostatečně dlouhý, bude do databáze vložený zalomený. Tabulka WP_COMMENTS ukládá komentáře do comment_content, který je typu TEXT, takže limitem je 64 KB. Osekaný vložený řetězec může obsahovat libovolné atributy a tagy, které fungují v HTML.

Takto upravený řetězec však nemůže být aktivovaný z nástěnky ani při úpravě komentářů. Přihlášený administrátor musí navštívit stránku se schváleným komentářem.

Ukázka útoku

Tentokrát nám bezpečnostní odborníci z Klikki Oy připravili i video, kde úspěšný útok předvedou.

WordPress na nahlášení chyby nereagoval

Za zmínku stojí i prohlášení bezpečnostních odborníků z Klikki Oy. Údajně zranitelnost objevili už dříve, ale vývojáři WordPress dlouhodobě nereagovali. A to i přesto, že je zkoušeli oslovit ve spolupráci s CERT-FI (národní bezpečnostní tým Finska) a lidí z programu HackerOne. Nakonec tak informace o této bezpečnostní díře zveřejnili. Dva dny na to byla vydána aktualizace. Uvidíme zdali k tomu bude ze strany WordPress nějaké oficiální stanovisko.

Share Button

Tento článek byl byl přečten 1876 krát

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *