ГлавнаяНовостиНайдена XSS уязвимость в ядре WordPress, версии 4.2 и ниже

Найдена XSS уязвимость в ядре WordPress, версии 4.2 и ниже

Не дождавшись ответа по официальным каналам WordPress, Jouko Pynnönen из компании Klikki Oy обнародовал детали найденной XSS уязвимости в ядре WordPress, которая затрагивает версии 4.2, 4.1.3, 4.1.2, 4.1.1, 3.9.3 и ниже.

Найденная уязвимость позволяет злоумышленнику исполнять JavaScript, используя форму комментирования в WordPress. С помощью данного вектор, Jouko удалось «заставить» администратора сайта исполнить сторонний JavaScript, который добавил шелл-скрипт на сервер, используя редактора кода WordPress, при этом весь процесс для администратора является достаточно прозрачным.

Команда WordPress.org работает над устранением данной уязвимости, и можно ожидать версию 4.2.1, а также обновления для предыдущих веток, уже на этой неделе. А пока обновление еще не вышло, Jouko советует всем пользователям отключить функции комментирования на всех сайтах WordPress.

Разработчики из компании Automattic добавили проверку на подобные комментарии на стороне сервиса Akismet, так что если вы используете данный плагин, то пропускать опасные комментарии он не будет. Можно и самостоятельно включить небольшую проверку на длину комментария, с помощью простого плагина:

add_filter( 'pre_comment_content', function( $content ) {
    if ( strlen( $content ) > 64000 )
        wp_die( 'Invalid comment.' );

    return $content;
} );

Будьте осторожны!

Подписаться на рассылку

Подписаться → Подпишитесь на бесплатную рассылку журнала WP Magazine и получайте новости, события, подборки тем и плагинов, уроки, советы и многое другое в мире WordPress!

  • Владимир Петрозаводский

    Хорошо что комментарии у многих и так выключены.

    «а также обновления для предыдущих веток, уже на этой неделе» а вот это уже интересней , да конечно хорошо там подерживать безопасной большого количества старых сайтов и тому подобное…

    Но все таки с какой целью, если человек не обновляет ядро столько времени то он либо отщепенец либо не обновит его и на секьюрити релиз, какая разница .

    Я все конечно понимаю , я даже понял бы если бы сделали версию cms для современных версии php и очень долго подерживали версию для php 5.2 но зачем это , что такого случилось в новых версиях что бы не обновиться в случае наличия безопасных релизов и тащить весь зоопарк при этом латая его ?

    Опять же интересно до какой версии вниз будет сделан этот патч, думаю не до 2,х же)) яэто было бы логично хотя бы там хотя бы отщипенцы могут быть по причинии потребления памяти …

    а так у меня слов нет , жутчаший легаси

    • Если есть возможность устранить уязвимость без лишних усилий в предыдущих ветках, то команда WordPress это делает как правило до ветки 3.7, т.к. это первая версия, которая поддерживает автоматические обновления.

  • Иван

    Версия 4.1.3 уязвима? Не нашел про нее в статье…

    • Да, возможно Jouko не испробовал свой вектор именно над версией 4.1.3, но следует считать, что все предыдущие версии уязвимы.

  • Алекс

    64000 — это значит не больше стольких-то символов? А как этим скриптом вообще запретить комменты? Поставить 0 вместо 64000?

    • Ну вообще 65535, это 64 килобайт, ровно столько, сколько может вместить поле MEDIUMTEXT в MySQL. Если вы хотите вообще запретить комментирование, используйте другой плагин, например Disable Comments.

  • Спасибо за патч!

  • Иван

    Версия 4.1.4 вышла

    • phil

  • Vitaliy Ralle

    WordPress 4.2.1 is now available. This is a critical security release for all previous versions and we strongly encourage you to update your sites immediately. A few hours ago, the WordPress team was made aware of a cross-site scripting vulnerability, which could enable commenters to compromise a site.

    Оперативно! Уже обновился :)

  • Ghost

    Спасибо, что предупредили. Пока начал присматриваться к другому движку.