Domov      Nastavenia 
RSS English Slovensky

Foreign Sources
Nahlásené incidenty
1.1.2017 - 31.12.2017
 

Graf

Kritická zraniteľnosť WordPress umožňuje ľahko ovládnuť webstránku cez komentáre

15.03.2019
Zraniteľnosť v Content Management Software (CMS) WordPress môže viesť ku vzdialenému vykonávaniu kódu. Zraniteľnosť vzniká pri chybných cross-site požiadavkách (CSRF) v časti pre komentáre v programe WordPress. Táto časť programu je jednou zo základných súčastí, ktorá je štandardne povolená a ovplyvňuje všetky inštalácie programu WordPress pred verziou 5.1.1. Daná zraniteľnosť dokonca umožňuje neautentifikovanému vzdialenému útočníkovi, aby kompromitoval systém a vzdialene vykonával kód na zraniteľných webových stránkach.

 

Dôsledky

  • Vzdialené vykonávanie kódu
  • Kompromitácia systému

Opis činnosti
Výskumník Simon Scannell zo spoločnosti RIPS Technologies objavil novú chybu v CMS WordPress. Útočník ju môže zneužiť tak, že presvedčí administrátora zraniteľnej webstránky, aby navštívil jeho škodlivú stránku. Pri demonštrácii novej zraniteľnosti poukázal na problémy, ktoré umožňujú využívať danú zraniteľnosť:

  • WordPress nepoužíva CSRF overenie, keď používateľ pridáva nový komentár, a teda útočník môže pridať komentár v mene administrátora.
  • Komentáre pridané administrátorom nie sú kontrolované a môžu obsahovať škodlivé HTML, alebo SCRIPT značky (tagy).
  • WordPress nie je chránený X-Frame-Options hlavičkou, čo umožňuje útočníkovi otvoriť cielenú stránku s pomocou ukrytého iFrame z webovej stránky ním ovládanej.

Kombináciou týchto problémov môže útočník nepozorovane vložiť škodlivý XSS kód zo svojej stránky do cieľovej webovej stránky tým, že administrátor-obeť navštívi túto škodlivú webovú stránku. Podľa Scannella, útočník dokonca môže získať úplnú kontrolu nad cielenou stránkou, ak vloží vzdialene XSS kód, ktorý upraví šablónu WordPressu priamo, tak aby vložil PHP zadné vrátka. A to bez vedomia administrátora.

Zraniteľné systémy
WordPress verzie staršie ako 5.1.1

Závažnosť zraniteľnosti
Vysoká

Možné škody
Cross-site scripting (XSS) Vzdialené vykonávanie kódu

Odporúčania
Bezodkladne aktualizovať na verziu 5.1.1, ak to program neurobil automaticky.

Odkazy
https://thehackernews.com/2019/03/hack-wordpress-websites.html
https://blog.ripstech.com/2019/wordpress-csrf-to-rce/
https://securityaffairs.co/wordpress/82382/hacking/wordpress-csrf-hack.html
https://www.bleepingcomputer.com/news/security/wordpress-511-fixes-xss-vulnerability-leading-to-website-takeovers/



<< zoznam oznámení