Критическая уязвимость XSS исправлена в WordPress и популярном плагине

24.11.2014 | 00:37 Экономика

Новые обновления безопасности, выпущенные для системы управления контентом WordPress и одного из его популярных плагинов, исправляют уязвимости межсайтового скриптинга (XSS), которые позволяют злоумышленникам получать контроль над веб-сайтами.

Команда разработчиков WordPress на прошлой неделе выпустила критические обновления безопасности WordPress 4.0.1, 3.9.3, 3.8.5 и 3.7.5.

Обновления 3.9.3, 3.8.5 и 3.7.5 адресованы исправлению уязвимости XSS в комментариях к публикациям и страницам WordPress.

Злоумышленник может воспользоваться этой уязвимостью для создания комментариев с вредоносным JavaScript кодом, встроенным в них, который будет выполнен браузерами пользователей, просматривающими эти комментарии.

«При наиболее очевидном сценарии, злоумышленник оставляет комментарий, содержащий JavaScript и некоторые ссылки, чтобы поместить комментарий в очередь на модерацию», говорит Юко Пиноннен, исследователь безопасности, который нашел уязвимость. «Когда администратор блога заходит в раздел Dashboard/Comments для рассмотрения новых комментариев, JavaScript запускается на выполнение. Скрипт может выполнять операции с правами администратора».

Результатом этой операции может быть создание второго аккаунта администратора WordPress с паролем, указанным злоумышленником. Еще хуже то, что уязвимость может быть использована без аутентификации, потому что написание комментария в блоге на WordPress по умолчанию не требует учетной записи.

XSS-уязвимость комментариев влияет только на WordPress 3.9.2 и более ранние версии, она не касается WordPress 4.0. Тем не менее, обновление 4.0.1, а также 3.x исправляет три другие уязвимости XSS, которые могут быть использованы для взлома WordPress-сайтов, если злоумышленник имеет доступ к аккаунту автора на них.

Новые релизы также исправляют уязвимость межсайтовой подделки запроса, которая может быть использована, чтобы обманом заставить пользователя изменить пароль, а также проблему отказа в обслуживании.

Кроме того, разработчики WP-Statistics — плагина WordPress, который собирает и показывает статистику посетителей, выпустили обновление для исправления высоких рисков XSS-уязвимости, похожей на исправленную в самой системе управления контентом.

«Плагин неправильно обрабатывает некоторые из данных, которые собирает для статистических целей, контролируемых посетителями веб-сайта», говорит Марк-Александр Монпас, исследователь компании безопасности Sucuri. «Если нападающий решил установить вредоносный код Javascript в уязвимый параметр, он будет сохранен в базе данных и напечатан как есть в административной панели, заставляя браузер жертвы выполнять задачи злоумышленника в фоновом режиме».

Исследователи Sucuri смогли использовать уязвимость, чтобы создать новую учетную запись администратора на тестовом сайте.

Пользователям WP-Statistics рекомендуется обновить плагин до версии 8.3.1 как можно скорее, чтобы защитить свои сайты. WP-Statistics был скачан более 830000 раз с официального репозитория плагинов WordPress.

Сайты WordPress часто являются мишенью киберпреступников, которые полагаются на взломанные легитимные сайты для множества видов вредоносной деятельности — от хостинга спама и вредоносных программ до запуска атак типа «drive-by download attacks», направленных на веб-пользователей.