Не дождавшись ответа по официальным каналам WordPress, Jouko Pynnönen из компании Klikki Oy обнародовал детали найденной XSS уязвимости в ядре WordPress, которая затрагивает версии 4.2, 4.1.3, 4.1.2, 4.1.1, 3.9.3 и ниже.
Найденная уязвимость позволяет злоумышленнику исполнять JavaScript, используя форму комментирования в WordPress. С помощью данного вектор, Jouko удалось «заставить» администратора сайта исполнить сторонний JavaScript, который добавил шелл-скрипт на сервер, используя редактора кода WordPress, при этом весь процесс для администратора является достаточно прозрачным.
Команда WordPress.org работает над устранением данной уязвимости, и можно ожидать версию 4.2.1, а также обновления для предыдущих веток, уже на этой неделе. А пока обновление еще не вышло, Jouko советует всем пользователям отключить функции комментирования на всех сайтах WordPress.
Разработчики из компании Automattic добавили проверку на подобные комментарии на стороне сервиса Akismet, так что если вы используете данный плагин, то пропускать опасные комментарии он не будет. Можно и самостоятельно включить небольшую проверку на длину комментария, с помощью простого плагина:
add_filter( 'pre_comment_content', function( $content ) { if ( strlen( $content ) > 64000 ) wp_die( 'Invalid comment.' ); return $content; } );
Будьте осторожны!