23/11/2014
Do wersji 3.9.2 WordPressa możliwe jest wstrzyknięcie kodu JavaScript w komentarzach (atak XSS). Znalazca błędu zademonstrował jak za jego pomocą (kod odpali się nie tylko na widoku posta, ale również w panelu zarządzania) można skasować ślad ataku, a następnie wykonać dowolną akcję administratora (dodanie użytkownika) lub odpalić własny kod PHP po stronie zaatakowanego serwera.
Błąd znajdował się w kodzie od 4 lat. Z wersji 3.9.2 WordPressa (i niższych) wciąż korzysta 80% serwisów…
No niebezpiecznik, aktualizujcie a nie czekacie.
No niby mówią że jest, ale ni cholery nie wiadomo jak to wykorzystać, a w tym ich teście to tylko jakieś nawiasy kwadratowe i onrazki.
*obrazki
Powinniście dawać jakieś ostrzeżenia, gdy linkujecie do stron, które swoim wyglądem ranią oczy…
Niebezpiecznik nie ma odwagi puszczać z wolnej stopy wszystkich komentarzy więc ten wektor ataku tu nie zadziała, chyba że świadomie puści komentarz “krzaki”…
Ale przecież chodzi o to, żeby exploitować admina ;)
Mam pytanie ogólnie o XSS – czy w miejscach gdzie wprowadzana przez użytkowników treść nie jest nigdzie zapisywana takie XSS jest niebezpieczne (tzn. np. wyszukiwarka podatna na XSS)?
Skrypt i tak nam przez serwer przetwarza, więc wsadzając swój kod możemy doprowadzić do wyplucia ostatecznie czegoś, co producent nie chciałby ujawnić światu :)