Το προφίλ μας στο Google Plus
0

Αδυναμία zero-day στη μηχανή του WordPress

Αν και στη συντριπτική τους πλειονότητα οι ευπάθειες του WordPress αφορούν σε plug-ins, Φινλανδός ερευνητής αποκάλυψε πρόβλημα με τη βασική μηχανή του δημοφιλούς CMS.

Αδυναμία zero-day στη μηχανή του WordPress!

Πρόκειται για αδυναμία zero-day που ανακαλύφθηκε στο WordPress 4.2, υπάρχει σε όλες τις προγενέστερες εκδόσεις και επιτρέπει στον επιτιθέμενο να εκτελεί απομακρυσμένα κώδικα στον web server.

Αναλυτικότερα, ο Juoko Pynnonen της Klikki Oy αποκάλυψε την προηγούμενη Κυριακή λεπτομέρειες για το νέο cross-site vulnerability στην πλατφόρμα του WordPress. Παρόμοιο bug επιδιορθώθηκε από τους developers του WordPress μέσα στην εβδομάδα, αξίζει ωστόσο να σημειωθεί ότι η σχετική αναφορά είχε γίνει 14 μήνες πριν.

Η αδυναμία που αποκάλυψε ο Pynnonen επιτρέπει στον επιτιθέμενο να εισάγει κώδικα JavaScript σε πεδίο σχολίων του WordPress. Το ίδιο το σχόλιο πρέπει να έχει μήκος τουλάχιστον 66000 χαρακτήρων και ο εισηγμένος κώδικας εκτελείται όταν το σχόλιο προβάλλεται από κάποιον επισκέπτη του site.

Ο ερευνητής υπογραμμίζει ότι, κατά πώς φαίνεται, ο κώδικας δεν εκτελείται από τη σελίδα διαχείρισης του WordPress. Αν μάλιστα είναι ενεργοποιημένος ο έλεγχος των σχολίων πριν τη δημοσίευσή τους, τότε ο διαχειριστής του site είναι πολύ πιθανό να δει το “προβληματικό” σχόλιο και να το διαγράψει, πριν αυτό εμφανιστεί στους επισκέπτες του δικτυακού τόπου. Πρέπει ωστόσο να τονιστεί ότι, με βάση τις προεπιλογές του WordPress, αν ένα σχόλιο κάποιου χρήστη γίνει αποδεκτό από τον διαχειριστή, τότε όλα τα επόμενα σχόλια του ίδιου χρήστη θεωρούνται ασφαλή και δημοσιεύονται.

Στις 27 του μήνα κυκλοφόρησε η έκδοση 4.2.1 του WordPress, στην οποία το πρόβλημα XSS που ανακάλυψε ο Pynnonen έχει επιδιορθωθεί.

Πηγή: ThreatPost

Leave a Reply

You must be logged in to post a comment.

Σύνδεση

Αρχείο δημοσιεύσεων