29. 04. 2015

Finský bezpečnostní výzkumník Jouko Pynnönen ze společnosti Klikki Oy zveřejnil informace o kritické XSS zranitelnosti nultého dne, která se nachází přímo v jádře samotného WordPressu.

Charakteristika zranitelnosti

K chybě dochází při zpracování komentářů od uživatelů či návštěvníků webové stránky. Přestože ve výchozím nastavení WordPressu nelze publikovat komentáře bez předchozího schválení administrátorem, útočníci mohou toto omezení obejít tak, že oklamou administrátora svými nezávadnými komentáři. Tím jej mohou přesvědčit o své kompetentnosti a nepřímo si tak vymoci automatické schvalování svých příspěvků. Pokud je vložen do těchto komentářů ve spodní části blogů škodlivý javascriptový kód doplněný do délky 66 tisíc znaků, nebo do velikosti přesahující 64 KB, pak je tento kód vykonán bez jakékoliv indikace směrem k administrátorovi.

Postižené systémy

WordPress 3.9.3
WordPress 4.1.1
WordPress 4.1.2
WordPress 4.2

Dopad zranitelnosti

Útočníci mohou vzdáleně spustit libovolný kód na webovém serveru, měnit hesla, vytvářet nové administrátorské účty, či server plně převzít pod vlastní kontrolu.

Řešení

Doporučujeme upgradovat CMS WordPress na nejnovější verzi 4.2.1.

CVE

N/A

Odkazy

http://thehackernews.com/2015/04/WordPress-vulnerability.html
https://threatpost.com/details-on-wordpress-zero-day-disclosed/112435
http://www.zdnet.com/article/millions-of-wordpress-sites-vulnerable-to-hijacking-after-zero-day-exploit-released/