פרצת אבטחה מסוג XSS המאפשרת לתוקף להזריק JavaScript אל תוך התגובות בתוכנת הקוד הפתוח WordPress,
קוד ה-Java script יופעל בצפיה בתגובות.
במידה והקוד יופעל על ידי מנהל האתר (או מישהו עם גישת admin), תחת הגדרות ברירת המחדל יוכל התוקף להזריק קוד זדוני לשרת – לחלופין, יוכל התוקף להוסיף חשבונות חדשים ברמת admin, לשנות את סיסמת ה-admin הקיימת או בכלליות, כל העולה על רוחו.
מהות הפריצה
במידה ואורך התגובה הוא גדול מידי, מערכת ה-wordpress "חותכת" (truncate) את התגובה כך שניתן יהיה להכניסה אל תוך מסד הנתונים (שימו לב כי מדובר בתגובות הגדולות מ-64K, כך שבפועל מדובר בתגובה מאוד ארוכה).
ה"חיתוך" שמבצעת wordpress גורם לכך שקוד HTML לא תקין יועלה לעמוד ובמקרה כזה, התוקף יכול "להתגבר" על הבדיקה שה-wordpress מבצע לטובת סילוק "אלמנטים מסוכנים" מהתגובות (כמו למשל: הזרקת JavaScript שתשפיע על הגולש).
הפרצה נבדקה ואושרה בגרסאות WordPress הבאות: 4.2, 4.1.2, 4.1.1, 3.9.3
איך מתגוננים?
- כיבוי לחלוטין של מערכת התגובות ב-Wordpress.
- שדרוג לגרסה 4.2.1 לפחות של wordpress.
במידה והנכם מתאחסנים באחד מחשבונות ה-LINUX בחברת SPD, מערכת ה-SWAF שלנו כבר מגנה כברירת מחדל על כל האתרים שלכם.
- חגי הקניות 2023 – בצל המלחמה! - נובמבר 12, 2023
- ריבוי אתרים בחשבון = סיכון אבטחה - יולי 16, 2017
- Let's encrypt – תעודות SSL, ובחינם! - ינואר 17, 2017
השאר תגובה