Jetpack и стандартная тема Twenty Fifteen были обновлены после обнаружения уязвимости межсайтового скриптинга (XSS) на основе DOM. Согласно Sucuri , любой плагин или тема, использующая Genericons , уязвима из-за небезопасного файла, включенного в пакет.
Genericons поставляется с файлом с именем example.html, который уязвим для атак с уровня объектной модели документа или для краткости DOM. Проект Open Web Application Security Project определяет атаку на основе DOM следующим образом:
XSS на основе DOM (или, как его называют в некоторых текстах, «XSS типа 0») — это атака XSS, при которой полезная нагрузка атаки выполняется в результате изменения «среды» DOM в браузере жертвы, используемой исходной клиентской стороной. script, так что код на стороне клиента работает “неожиданно”. То есть сама страница (то есть ответ HTTP) не меняется, но код на стороне клиента, содержащийся на странице, выполняется по-другому из-за вредоносных модификаций, которые произошли в среде DOM.
Полезная нагрузка для этих типов атак выполняется непосредственно в браузере. Даже брандмауэр веб-сайта Sucuri не может заблокировать атаку, поскольку он никогда не видит ее. Однако компания практически исправила уязвимость.
Sucuri работала с рядом хостинг-провайдеров, чтобы идентифицировать и удалить файл example.html со своих серверов. Если вы используете следующие веб-хостинги, вы уже должны быть исправлены неделю назад.
- GoDaddy
- HostPapa
- DreamHost
- ClickHost
- InMotion
- WPEngine
- Pagely
- Pressable
- Websynthesis
- Site5
- SiteGround
По словам Сукури, файл example.html использовался для отладки и тестирования, но был ошибочно оставлен внутри каталога после того, как проект был упакован для производственной среды. Это простое упущение поставило под угрозу миллионы сайтов, поскольку Twenty Fifteen — тема по умолчанию, которая поставляется с WordPress.
Вы должны обновить тему Twenty Fifteen и Jetpack независимо от того, какой веб-хостинг вы используете. Вы также должны сохранять бдительность и следить за дополнительными обновлениями плагинов и тем. Если возможно, вручную удалите файл example.html из каталога Genericons.
Обновлять
WordPress 4.2.2 доступен в виде обновления безопасности, которое решает проблему Genericons и содержит исправления ошибок.
