Μια ευπάθεια cross-site scripting (XSS) κυκλοφόρησε πρόσφατα για την νεότερη έκδοση του WordPress 4.2 (λειτουργεί και σε όλες τις παλαιότερες εκδόσεις) και μπορεί να αξιοποιηθεί από κάποιον κακόβουλο χρήστη για να τρέξει αυθαίρετο κώδικα στο διακομιστή.
Το ελάττωμα ασφάλειας είναι ακόμα και σήμερα unpatched από τον επίσημο διανομέα του λογισμικού ενώ έχει ήδη κυκλοφορήσει το PoC ελεύθερα στο διαδίκτυο.
Το iGuRu.gr όπως γνωρίζουν οι σχετικοί, χρησιμοποιεί Wοrdpress. Αν όμως δοκιμάσετε το cross-site scripting στην ιστοσελίδα μας θα απογοητευτείτε καθώς η τεχνική μας υπηρεσία διόρθωσε το σφάλμα τρεις ώρες μετά την ανακοίνωση του.
Ένας εισβολέας εκμεταλλευόμενος το ελάττωμα θα μπορούσε να αναλάβει τον έλεγχο της ιστοσελίδα στόχου, δημιουργώντας νέους λογαριασμούς διαχειριστή. Εκτός από την τρέχουσα έκδοση του WordPress 4.2, οι εκδόσεις 4.1.2, 4.1.1 και 3.9.3 επηρεάζονται επίσης.
Η ευπάθεια ανακαλύφθηκε από τον Jouko Pynnönen, της εταιρείας ερευνών Klikki Oy στη Φινλανδία, και είναι παρόμοια με εκείνη που έγινε patched στο WordPress 4.1.2, αφού είχε γνωστοποιηθεί στους προγραμματιστές του λογισμικού από τον ερευνητή Cedric Van Bockhaven περίπου 14 μήνες πριν, στις 23 Φεβρουαρίου του 2014 .
Η μέθοδος του Pynnönen στοχεύει τα σχόλια του WordPress και τον τρόπο που γίνεται η περικοπή ενός μεγάλου μηνύματος κειμένου (μεγαλύτερο από 64KB), και το σχόλιο αποθηκεύεται στη βάση δεδομένων της ιστοσελίδας.
Σχόλια που είναι μεγαλύτερα από 64KB περικόπτονται μέσω της MySQL. Η περικοπή των μηνυμάτων οδηγεί σε σφάλματα του κώδικα HTML στη σελίδα, και μπορεί να αξιοποιηθεί από έναν εισβολέα για να προσθέσει χαρακτηριστικά στα υποστηριζόμενα HTML tags και να υποβάλει κακόβουλο κώδικα JavaScript.
Ο Pynnönen χρησιμοποιώντας την ευπάθεια κατάφερε να ρίξει ένα exploit στην στοχοθετημένη ιστοσελίδα, όταν ο διαχειριστής προσπάθησε να εγκρίνει το σχόλιο. Ο ερευνητής δοκίμασε την ευπάθεια στις MySQL εκδόσεις 1.5.53 και 5.5.41.
Μέχρι να κυκλοφορήσει το patch από την WordPress, οι διαχειριστές των ιστοσελίδων που τρέχουν με WοrdPress συνιστάται να μην εγκρίνουν τυχόν σχόλια.
Παραπάνω τεχνικές λεπτομέρειες είναι διαθέσιμες στην ιστοσελίδα Klikki Oy.
Παρακολουθήστε το βίντεο που αποδεικνύει το ελάττωμα (PoC):