WordPress 5.0.1 Security Release

Вступление

WordPress 5.0.1 был выпущен в среду вечером, менее чем через неделю после долгожданного выпуска WordPress 5.0. Этот выпуск безопасности исправляет семь уязвимостей, некоторые из которых довольно серьезные.

На практике, пока попыток использовать эти уязвимости, замечены не были, однако учитывая количество затронутых сайтов, они ожидаются.

Скорость, с которой эти проблемы безопасности были обнаружены, зарегистрированы и исправлены, является свидетельством силы совместной работы сообщества WordPress.

Детали уязвимости исправленные в WordPress 5.0.1

Конфиденциальные данные

Команда Yoast обнаружила, что экран активации пользователя может индексироваться поисковыми системами в некоторых необычных конфигурациях, что приводит к раскрытию адресов электронной почты, а в некоторых редких случаях – сгенерированных по умолчанию паролей. WordPress решил эту проблему, удалив ключ активации, использованный в URL, и вместо этого сохранили значение в файле cookie.

Внедрение PHP-объектов

Сэм Томас обнаружил, что участники могут создавать метаданные так, чтобы это приводило к внедрению PHP-объектов. Это похоже на 2 уязвимости удаления произвольных файлов, исправленные в WordPress 4.9.6.

Несанкционированное создание почты

Саймон Сканнелл из RIPS Technologies обнаружил, что авторы могут создавать посты неавторизованных постов со специально созданным вводом. Требование о том, что злоумышленнику понадобятся как минимум привилегии уровня «автора», делает вероятность того, что это будет широко распространено, очень мала.

Повышение привилегий XSS

Тим Коэн обнаружил, что участники могут редактировать новые комментарии от пользователей с более высокими привилегиями, что может привести к уязвимости межсайтового скриптинга.

Это еще одна уязвимость, требующая более высокой роли пользователя, что делает вероятность широко распространенной эксплуатации довольно низкой. WordPress решил эту проблему, удалив тег <form> из своего белого списка HTML.

Привилегированный XSS

Тим Коен и Славко обнаружили, что пользователи с правами «автора» на сайтах, размещенных на Apache, могут загружать специально созданные файлы, которые проходят проверку MIME, что приводит к уязвимости межсайтового скриптинга. Опять же, пользовательское требование уровня «автор» ставит маловероятную цель для злоумышленников.

XSS, который может повлиять на некоторые плагины

Тим Коен также обнаружил, что специально созданные входы URL могут привести к уязвимости межсайтового скриптинга в некоторых случаях. Изменение кода в ядре WordPress влияет на функцию wpmu_admin_do_redirect, которая не используется в WordPress, но плагин может вызвать эту функцию где-нибудь.

Несанкционированное удаление файла

Карим эль-Орхемми обнаружил, что пользователи уровня автора могут изменять метаданные для удаления файлов, на которые у них нет прав доступа. Эта проблема возникает из-за 2 уязвимостей, связанных с удалением произвольных файлов, исправленных в WordPress 4.9.6.

Исправление в WordPress касалось того, как файлы вложений удаляются, путем ограничения путей к файлам в каталоге загрузки, но не решало проблему авторов, имеющих возможность изменять пути вложений для произвольных файлов. Автор может использовать это, чтобы удалить вложения других пользователей.

Что делать

Сайты на WordPress 5.0 должны обновиться до версии 5.0.1 как можно скорее. Те, у кого автоматическое обновление включено для ядра WordPress, должны быть уже обновлены, но, учитывая природу уязвимостей, мы рекомендуем на всякий случай проверять свои сайты вручную.

Сайты с версиями WordPress 4.x должны обновиться до версии 4.9.9 как можно скорее. Мы слышали противоречивые сообщения об автоматических обновлениях, работающих для этого обновления. Если вам нужно обновить вручную, обновление 4.9.9 можно скачать здесь. Вы можете найти официальное объявление о выпуске от команды WordPress здесь.

www.wordpress-abc.ru