В WordPress 5.1.1 устранена уязвимость, позволяющая получить контроль над сайтом

14 марта 2019 года

Опубликован корректирующий релиз системы управления web-контентом WordPress 5.1.1, в котором устранена CSRF-уязвимость, позволяющая совершить атаку на администратора сайта для выполнения кода на сервере.

Предложенная атака требует, чтобы администратор сайта на базе WordPress открыл в своём браузере подготовленную злоумышленниками страницу, содержащую код для эксплуатации CSRF-уязвимости в обработчике комментариев WordPress. Уязвимость проявляется только на сайтах с включенной поддержкой отправки комментариев. При открытии вредоносной страницы в браузере администратора, от его имени создаётся комментарий к одной из записей на сайте.

Так как администратор обладает расширенными полномочиями по использованию HTML-тегов в комментариях, имеется возможность через манипуляцию с текстом, подставляемым в атрибут "title" тега "а href", добиться выполнения произвольного JavaScript-кода (передать строку вида '" onmouseover=evilCode()'). Имея возможность запуска JavaScript в контексте сеанса администратора можно отправить запрос в управляющий web-интерфейс и организовать выполнение PHP-кода через изменение PHP-файлов темы оформления.

В новом выпуске также добавлено предупреждение о повышении требований к версии PHP. Начиная с выпуска WordPress 5.2 в качестве минимально поддерживаемой версии будет заявлен PHP 5.6. Также планируется поднять требования к версии MySQL до ветки MySQL 5.5. По предварительной оценке около 15% пользователей WordPress 5.0 используют версию PHP ниже 5.6 и им потребуется обновить свои системы. Что касается MySQL, то версии ниже MySQL 5.5 применяет всего 1.5% пользователей WordPress 5.0.

Источники

править


 
 
Creative Commons
Эта статья содержит материалы из статьи «В WordPress 5.1.1 устранена уязвимость, позволяющая получить контроль над сайтом», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
 
Эта статья загружена автоматически ботом NewsBots в архив и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.