21. 04. 2015

Výzkumný tým ze společnosti Sucuri zveřejnil informace o XSS zranitelnosti, která postihuje mnoho pluginů v redakčním a publikačním systému WordPress.

Charakteristika zranitelnosti

Zranitelnost je spojena s populárními funkcemi add_query_arg() a remove_query_arg(), které využívají vývojáři k modifikaci a doplňování řetězců v URL adresách uvnitř WordPressu. Oficiální popis těchto funkcí mohl vést vývojáře k jejich použití nezabezpečeným způsobem, protože předpokládali, že funkce ošetřují vstup od uživatele. Toto použití funkcí pak může způsobit náchylnost pluginů ke Cross-Site-Scripting (XSS) zranitelnosti.

Postižené pluginy

Jetpack
WordPress SEO
Google Analytics by Yoast
All In one SEO
Gravity Forms
Multiple Plugins from Easy Digital Downloads
UpdraftPlus
WP-E-Commerce
WPTouch
Download Monitor
Related Posts for WordPress
My Calendar
P3 Profiler
Give
Multiple iThemes products including Builder and Exchange
Broken-Link-Checker
Ninja Forms
a mnoho dalších.

Dopad zranitelnosti

Útočníci mohou do webových stránek podstrčit svůj vlastní javascriptový kód, což může být zneužito k poškození vzhledu nebo funkčnosti stránky, získání citlivých údajů návštěvníků stránek nebo k obcházení bezpečnostních prvků aplikací.

Řešení

Administrátorům WordPressu, kteří nemají zapnutou funkci automatické aktualizace, se doporučuje ve wp-admin dashboardu upgradovat pluginy na nejnovější verze. Dále je vhodné mít nainstalované pouze takové pluginy, jejichž funkcionalitu opravdu potřebují.

Vývojářům je doporučeno používat funkce esc_url() nebo esc_url_raw().

CVE

N/A

Odkazy

https://blog.sucuri.net/2015/04/security-advisory-xss-vulnerability-affecting-multiple-wordpress-plugins.html