Кликки Ой описал новую XSS-уязвимость, которая затрагивает комментарии и существует в WordPress 4.2, 4.1.2, 4.1.1 и 3.9.3. Эта уязвимость позволяет неаутентифицированному злоумышленнику провести инъекцию JS с помощью комментариев. Действие вызывается тогда, когда администратор просмотрел комментарий.
«Если комментарий просмотрен администратором, злоумышленник мог использовать уязвимость для выполнения произвольного кода на сервере через редакторы плагинов и тем.
Альтернативно злоумышленник мог сменить пароль администратора, создать новые администраторские аккаунты, либо сделать что-то еще, что может делать вошедший администратор в целевой системе».
Данная уязвимость напоминает ту, которая была отмечена Седриком Ван Бокхавеном в 2014 году, которая была исправлена в новом релизе безопасности WordPress 4.1.2. В обоих случаях злоумышленник публиковал очень длинный комментарий, чтобы вызвать превышение размера типа MySQL TEXT, что приводило к урезанию комментария, который затем добавлялся в базу данных.
«Урезание выливалось в уродливый HTML-код, генерируемый на странице. Злоумышленник мог вводить любые атрибуты в разрешенные HTML-теги, точно так же, как в случае с двумя недавно опубликованными XSS-уязвимостями, затрагивающими ядро WordPress.
В этих двух случаях инъецируемый JS, очевидно, не может быть вызван в консоли администратора, поэтому данные эксплойты требуют обхода модерации комментариев – к примеру, для начала публикуется вполне безопасный комментарий».
Патч от команды безопасности WordPress должен поступить в ближайшее время. В данный момент команда не может предоставить ETA, однако пользователи могут кое-что сделать самостоятельно.
«Самый лучший вариант – установить Akismet, который уже был сконфигурирован, чтобы блокировать эту атаку, либо отключить комментарии», отмечает участник ядра Гэри Пендергаст. «JS блокируется wp_kses(). Akismet блокирует эту атаку, которая обходит защиту wp_kses()».
Пользователи WordPress могут временно отключить комментарии, пока патч не будет выпущен командой безопасности WordPress.
Видео:
Проверял, работает ли ваш совет! Спасибо за статью. Проверю у себя. Я так понял, такой комент не опубликуется.
А если модерация комментариев в ручную
Естественно, работает. У меня же последняя версия стоит WP. :)