Zespół WordPressa ogłosił w tym tygodniu wydanie wersji 6.0.2. Zawiera ona poprawki trzech błędów bezpieczeństwa, między innymi luki w zabezpieczeniach SQL o wysokim stopniu ważności.
WordPress to napisany w języku PHP system zarządzania treścią strony (CMS), zaprojektowany głównie do obsługi blogów. Wykorzystuje bazę danych MySQL, właśnie tę, która została dotknięta podatnością. Rozpowszechniany jest na licencji otwartej, co oznacza, że można z niego korzystać bezpłatnie. Według danych W3Techs, firmy analizującej rynek IT, w maju 2018 roku aż 30,7% stron pracowało w oparciu o WordPressa. Z kolei wśród systemów zarządzania treścią WordPress miał udział na poziomie 59,9% – czyli był najpopularniejszym CMS-em na świecie.
Zidentyfikowany błąd pojawia się w funkcji WordPress Link, wcześniej znanej jako „Zakładki”. Problem dotyczy tylko starszych instalacji, ponieważ jest ona domyślnie wyłączona w nowych implementacjach. Jednak, jak mówi Wordfence, zespół z firmy Defiant, który zajmuje się bezpieczeństwem WordPressa, „ta funkcjonalność może być nadal włączona w milionach starszych witryn WordPress, nawet jeśli działają na nich nowsze wersje CMS”.
Omawiana luka bezpieczeństwa ma wynik CVSS 8.0. Wymaga uprawnień administratora i nie jest łatwa do wykorzystania w domyślnych konfiguracjach. Mimo to mogą istnieć wtyczki, które pozwalają na jej wywoływanie przez użytkowników o niższych uprawnieniach (np. na poziomie edytora i niższych).
„Podatne wersje WordPressa nie zdołały skutecznie oczyścić argumentu limitu zapytania pobierania linków w funkcji «get_bookmarks», używanej do zapewnienia, że zwrócona zostanie tylko określona liczba linków” — wyjaśnia Wordfence.
W domyślnej konfiguracji tylko starszy widżet Links wywołuje funkcję w taki sposób, że użytkownik może ustawić argument limit. Jednak ze względu na zabezpieczenia w starszych widżetach wykorzystanie luki nie jest takie proste.
Obie pozostałe luki usunięte w WordPressie 6.0.2 to błędy XSS (cross-site scripting) o średnim poziomie ważności. Podatności spowodowane są użyciem funkcji „the_meta” oraz błędami dezaktywacji i usuwania wtyczek.
Pomyślne wykorzystanie tych luk może doprowadzić do wykonania bądź to skryptów wstrzykiwanych do kluczy i wartości meta postu, bądź kodu JavaScript w komunikatach wyświetlanych, gdy wtyczki są dezaktywowane lub usuwane z powodu błędu.
Administratorom witryn zaleca się jak najszybszą aktualizację do WordPress 6.0.2 (jest automatycznie dostarczana witrynom obsługujących aktualizacje w tle). Jak zauważa zespół WordPressa, poprawki zostały przeniesione do wersji 3.7 i nowszych.
Na naszych skromnych łamach wielokrotnie pisaliśmy o problemach WordPressa z bezpieczeństwem i podatnościami. Przypomnijmy tylko niektóre posty:
25 listopada 2021 r. przekazaliśmy informację o wycieku danych u jednego z gigantycznych dostarczycieli usług hostingowych. GoDaddy ujawnił naruszenie danych w swoich serwerach, które spowodowało nieautoryzowany dostęp do poświadczeń łącznie 1,2 miliona aktywnych i nieaktywnych klientów. W zgłoszeniu do amerykańskiej „Securities and Exchange Comission” (SEC) największy na świecie hosting powiedział, że „złośliwa, trzecia strona” zdołała uzyskać dostęp do środowiska hostingowego Managed WordPress. O wszystkim pisaliśmy tutaj.
Z kolei w tym roku, 20 czerwca, informowaliśmy, że ponad milion witryn postawionych na WordPressie było narażonych poprzez krytyczną lukę w zabezpieczeniach wtyczki Ninja Forms. Lukę tę aktywnie wykorzystywano w atakach. Artykuł można znaleźć tutaj.