Klikki Oy сообщает о новой уязвимости XSS-эксплойта комментариев в WordPress 4.2, 4.1.2, 4.1.1 и 3.9.3, которая позволяет злоумышленнику, не прошедшему проверку подлинности, внедрять JavaScript в комментарии.
В случае запуска администратором, вошедшим в систему, при настройках по умолчанию злоумышленник может использовать уязвимость для выполнения произвольного кода на сервере через редакторы плагинов и тем.
В качестве альтернативы злоумышленник может изменить пароль администратора, создать новые учетные записи администратора или сделать все, что администратор, вошедший в систему, может делать в целевой системе.
Эта конкретная уязвимость аналогична той , о которой сообщил Седрик Ван Бокхейвен в 2014 году, и которая была исправлена в последнем выпуске безопасности WordPress 4.1.2 . Эта конкретная уязвимость была связана с вставкой четырехбайтовых символов в комментарии, что вызывало преждевременное усечение MySQL.
В этом случае злоумышленник публикует слишком длинный комментарий, чтобы активировать ограничение размера типа TEXT в MySQL, которое усекает комментарий при его вставке в базу данных.
Усечение приводит к созданию на странице искаженного HTML-кода. Злоумышленник может указать любые атрибуты в разрешенных HTML-тегах так же, как и в случае с двумя недавно опубликованными сохраненными XSS-уязвимостями, затрагивающими ядро WordPress.
В этих двух случаях внедренный JavaScript, по-видимому, не может быть запущен в административной панели, поэтому эти эксплойты, по-видимому, требуют обхода модерации комментариев, например, путем публикации сначала одного безобидного комментария.
Должен появиться патч от команды безопасности WordPress. В настоящее время команда не может предоставить ожидаемое время прибытия, но тем временем есть несколько вещей, которые пользователи могут сделать, чтобы снизить риск.
«Лучший вариант — установить Akismet (который уже настроен для блокировки этой атаки) или отключить комментарии», — сказал основной участник Гэри Пендергаст в ответ на запросы на канале WordPress #core Slack . «JavaScript заблокирован функцией wp_kses(). Akismet блокирует эту конкретную атаку, которая обходит защиту wp_kses()».
Пользователи WordPress также могут временно отключить комментарии до тех пор, пока команда безопасности WordPress не выпустит исправление.
