22:19
23/11/2014

Do wersji 3.9.2 WordPressa możliwe jest wstrzyknięcie kodu JavaScript w komentarzach (atak XSS). Znalazca błędu zademonstrował jak za jego pomocą (kod odpali się nie tylko na widoku posta, ale również w panelu zarządzania) można skasować ślad ataku, a następnie wykonać dowolną akcję administratora (dodanie użytkownika) lub odpalić własny kod PHP po stronie zaatakowanego serwera.

Błąd znajdował się w kodzie od 4 lat. Z wersji 3.9.2 WordPressa (i niższych) wciąż korzysta 80% serwisów…

Przeczytaj także:

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.

8 komentarzy

Dodaj komentarz
  1. No niebezpiecznik, aktualizujcie a nie czekacie.

  2. No niby mówią że jest, ale ni cholery nie wiadomo jak to wykorzystać, a w tym ich teście to tylko jakieś nawiasy kwadratowe i onrazki.

    • *obrazki

  3. Powinniście dawać jakieś ostrzeżenia, gdy linkujecie do stron, które swoim wyglądem ranią oczy…

  4. Niebezpiecznik nie ma odwagi puszczać z wolnej stopy wszystkich komentarzy więc ten wektor ataku tu nie zadziała, chyba że świadomie puści komentarz “krzaki”…

    • Ale przecież chodzi o to, żeby exploitować admina ;)

  5. Mam pytanie ogólnie o XSS – czy w miejscach gdzie wprowadzana przez użytkowników treść nie jest nigdzie zapisywana takie XSS jest niebezpieczne (tzn. np. wyszukiwarka podatna na XSS)?

    • Skrypt i tak nam przez serwer przetwarza, więc wsadzając swój kod możemy doprowadzić do wyplucia ostatecznie czegoś, co producent nie chciałby ujawnić światu :)

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.