ГлавнаяНовостиНайдена XSS уязвимость в ядре WordPress, версии 4.2 и ниже

Найдена XSS уязвимость в ядре WordPress, версии 4.2 и ниже

Не дождавшись ответа по официальным каналам WordPress, Jouko Pynnönen из компании Klikki Oy обнародовал детали найденной XSS уязвимости в ядре WordPress, которая затрагивает версии 4.2, 4.1.3, 4.1.2, 4.1.1, 3.9.3 и ниже.

Найденная уязвимость позволяет злоумышленнику исполнять JavaScript, используя форму комментирования в WordPress. С помощью данного вектор, Jouko удалось «заставить» администратора сайта исполнить сторонний JavaScript, который добавил шелл-скрипт на сервер, используя редактора кода WordPress, при этом весь процесс для администратора является достаточно прозрачным.

Команда WordPress.org работает над устранением данной уязвимости, и можно ожидать версию 4.2.1, а также обновления для предыдущих веток, уже на этой неделе. А пока обновление еще не вышло, Jouko советует всем пользователям отключить функции комментирования на всех сайтах WordPress.

Разработчики из компании Automattic добавили проверку на подобные комментарии на стороне сервиса Akismet, так что если вы используете данный плагин, то пропускать опасные комментарии он не будет. Можно и самостоятельно включить небольшую проверку на длину комментария, с помощью простого плагина:

add_filter( 'pre_comment_content', function( $content ) {
    if ( strlen( $content ) > 64000 )
        wp_die( 'Invalid comment.' );

    return $content;
} );

Будьте осторожны!

Константин Ковшенин

Сооснователь журнала WP Magazine и первой конференции WordCamp в России. Работал в Automattic, WordPress.com, WooCommerce. Принимает активное участие в развитии ядра WordPress. Любимый язык программирования: Python.

Подписаться на рассылку

Подписаться → Подпишитесь на бесплатную рассылку журнала WP Magazine и получайте новости, события, подборки тем и плагинов, уроки, советы и многое другое в мире WordPress!