www.rookee.ru

4 новые опасные уязвимости в ядре WordPress 2022: SQL-инъекции и XSS

Рубрика: Интересное | Время на чтение: 5 мин.

Компания WordPress объявила об устранении четырёх уязвимостей, которые оцениваются в 8 баллов по 10-бальной шкале безопасности. Уязвимости находятся в ядре движка и связаны с недостатками, созданными самой командой разработки WP.

4 новые опасные уязвимости в ядре WordPress 2022: SQL-инъекции и XSS

А спонсором блога в этом месяце выступает сервис Rookee. Когда требуется комплексное поисковое продвижение, контекстная реклама на автопилоте или формирование репутации в сети – на помощь приходят Rookee!

4 критические уязвимости движка WordPress

Сам WordPress довольно скудно описал новость про свежие критические уязвимости движка. Однако Национальная база данных уязвимостей правительства США оценила их в 8/10 баллов.

Уязвимости по степени опасности

  • Межсайтовый скриптинг (XSS) через аутентифицированных пользователей (уровень опасности: высокий, 8.0).
Межсайтовый скриптинг (XSS)

Пользователи с низким уровнем доступа (например, авторы) имели возможность использовать JavaScript, осуществляя XSS-атаку на пользователей с более высоким уровнем доступа.

  • SQL-инъекция через WP_Query из-за неправильной санации (уровень опасности: высокий, 8.0)
SQL-инъекция через WP_Query

Из-за неправильной санации в WP_Query появилась возможность внедрить SQL-инъекцию через различные плагины и темы, которые используют этот PHP-класс определённым образом.

  • SQL-инъекция из-за проблем санации данных в WP_Meta_Query (уровень опасности: высокий, 7.4).
SQL-инъекция из-за проблем санации данных

Из-за отсутствия надлежащей санации в одном из классов появилась вероятность выполнения непредусмотренных SQL-запросов.

  • Инъекция аутентифицированных объектов в мультисайте (уровень опасности: средний, 6,6).
Инъекция аутентифицированных объектов

В мультисайте (вариант конфигурации WP, который позволяет использовать неограниченное количество сайтов в пределах одной установки WordPress и управлять всеми этими сайтами, как суперадминистратор) пользователи с ролью «Super Admin» могли обойти дополнительную защиту при определённых условиях с помощью инъекции объектов PHP.

Три из четырёх уязвимостей были обнаружены сторонними исследователями безопасности WordPress. Компания ничего не знала о них, пока не получила соответствующее уведомление. Уязвимости были раскрыты WordPress в частном порядке, что позволило устранить проблемы до того, как они смогли бы широко распространиться.

Опасная спешка в развитии WordPress

В 2021 году разработка WordPress замедлилась, потому что компания не смогла закончить работу над последней версией, 5.9, в результате чего выпуск был перенесён на более поздний срок в 2022 году.

Внутри WordPress шли разговоры о замедлении темпов разработки из-за опасений за способность идти в ногу со временем. Сами разработчики ядра движка в конце 2021 года подняли тревогу по поводу темпов разработки, умоляя дать им больше времени.

Один из разработчиков написал тогда на GitHub:

В целом, кажется, что сейчас мы опасно торопим события.

Обсуждение разработки WordPress на GitHub

Учитывая, что WordPress не может придерживаться своего собственного графика и обсуждает сокращение календаря на 2022 год с четырёх релизов до трёх, стоит задуматься о темпах разработки движка и о том, не следует ли приложить больше усилий, чтобы гарантировать, что уязвимости не будут опубликованы в открытом доступе.

Проблемы санации данных в WordPress

Санация данных – это способ контролировать, какая информация попадает в базу данных на входе. База данных – это место, где хранится информация о сайте, включая пароли, имена и данные пользователей, контент и другую информацию, необходимую для функционирования сайта.

В документации WordPress санация данных описывается следующим образом:

Это процесс очистки или фильтрации входных данных. Независимо от того, поступают ли данные от пользователя, API или веб-сервиса, вы используете санацию, когда не знаете, чего ожидать, или не хотите быть строгими с проверкой данных.

В документации говорится, что WordPress предоставляет встроенные вспомогательные функции для защиты от вредоносных входных данных, и что использование этих вспомогательных функций требует минимальных усилий.

WordPress предвидит шестнадцать видов уязвимостей ввода и предлагает решения для их блокировки. Поэтому удивительно, что проблемы с санацией ввода до сих пор возникают в самом ядре движка.

Универсальный совет: обновляйтесь как можно чаще

Поскольку уязвимости открылись для относительно широкой публики, самым надёжным решением будет обновление WordPress до последней версии. Сейчас это 5.8.3.

WordPress 5.8.3

Да и вообще, если вы зарабатываете деньги в интернете, создавая, продвигая и монетизируя сайты, выработайте у себя две полезные привычки: регулярно производить бэкапы и обновления.

Обновить движок или плагин – дело пары минут. А вот с последствиями взлома придётся, скорее всего, разбираться несколько дней или недель. Поэтому не ленитесь!

Источники данных

  1. Официальный релиз безопасности WordPress 5.8.3.
  2. Межсайтовый скриптинг (XSS) через аутентифицированных пользователей.
  3. SQL-инъекция через WP_Query из-за неправильной санации.
  4. SQL-инъекция из-за проблем санации данных в WP_Meta_Query.
  5. Инъекция аутентифицированных объектов в мультисайте.

ПОНРАВИЛСЯ ПОСТ? ПОДЕЛИСЬ ССЫЛКОЙ С ДРУЗЬЯМИ!

Получать новые публикации по электронной почте:

Skyeng

СТАТЬИ ИЗ РУБРИКИ:

5 1 голос
Рейтинг статьи
Подписаться
Уведомить о
guest

6 комментариев
Старые
Новые Популярные
Межтекстовые Отзывы
Посмотреть все комментарии
seoonly.ru
10 месяцев назад

сейчас поломают всем и все( и письки голые зальют на фронтпейдж(

Аспирант
10 месяцев назад
Ответить на  seoonly.ru

Обновился уже? =)

seoonly.ru
10 месяцев назад
Ответить на  Аспирант

жду) пару деньков

Casares
Casares
10 месяцев назад

Удобно, что ВП автоматически обновляется. В большинстве случаев вебмастеры даже не знают об уязвимостях. И об их устранении.

Аспирант
10 месяцев назад
Ответить на  Casares

Функция автоматического обновления – действительно удобная вещь. Но за безопасностью, всё же, лучше дополнительно следить в ручном режиме. Автоматика не всегда может сработать.

Данил
10 месяцев назад
Ответить на  Casares

А как включить автообновление WP, я такую функцию нашел для обновления плагинов, сорри за тупость, я шахтер))!?

6
0
Оставьте комментарий! Напишите, что думаете по поводу статьи.x