4 новые опасные уязвимости в ядре WordPress 2022: SQL-инъекции и XSS
Компания WordPress объявила об устранении четырёх уязвимостей, которые оцениваются в 8 баллов по 10-бальной шкале безопасности. Уязвимости находятся в ядре движка и связаны с недостатками, созданными самой командой разработки WP.
А спонсором блога в этом месяце выступает сервис Rookee. Когда требуется комплексное поисковое продвижение, контекстная реклама на автопилоте или формирование репутации в сети – на помощь приходят Rookee!
4 критические уязвимости движка WordPress
Сам WordPress довольно скудно описал новость про свежие критические уязвимости движка. Однако Национальная база данных уязвимостей правительства США оценила их в 8/10 баллов.
Уязвимости по степени опасности
- Межсайтовый скриптинг (XSS) через аутентифицированных пользователей (уровень опасности: высокий, 8.0).
Пользователи с низким уровнем доступа (например, авторы) имели возможность использовать JavaScript, осуществляя XSS-атаку на пользователей с более высоким уровнем доступа.
- SQL-инъекция через WP_Query из-за неправильной санации (уровень опасности: высокий, 8.0)
Из-за неправильной санации в WP_Query появилась возможность внедрить SQL-инъекцию через различные плагины и темы, которые используют этот PHP-класс определённым образом.
- SQL-инъекция из-за проблем санации данных в WP_Meta_Query (уровень опасности: высокий, 7.4).
Из-за отсутствия надлежащей санации в одном из классов появилась вероятность выполнения непредусмотренных SQL-запросов.
- Инъекция аутентифицированных объектов в мультисайте (уровень опасности: средний, 6,6).
В мультисайте (вариант конфигурации WP, который позволяет использовать неограниченное количество сайтов в пределах одной установки WordPress и управлять всеми этими сайтами, как суперадминистратор) пользователи с ролью «Super Admin» могли обойти дополнительную защиту при определённых условиях с помощью инъекции объектов PHP.
Три из четырёх уязвимостей были обнаружены сторонними исследователями безопасности WordPress. Компания ничего не знала о них, пока не получила соответствующее уведомление. Уязвимости были раскрыты WordPress в частном порядке, что позволило устранить проблемы до того, как они смогли бы широко распространиться.
Опасная спешка в развитии WordPress
В 2021 году разработка WordPress замедлилась, потому что компания не смогла закончить работу над последней версией, 5.9, в результате чего выпуск был перенесён на более поздний срок в 2022 году.
Внутри WordPress шли разговоры о замедлении темпов разработки из-за опасений за способность идти в ногу со временем. Сами разработчики ядра движка в конце 2021 года подняли тревогу по поводу темпов разработки, умоляя дать им больше времени.
Один из разработчиков написал тогда на GitHub:
В целом, кажется, что сейчас мы опасно торопим события.
Учитывая, что WordPress не может придерживаться своего собственного графика и обсуждает сокращение календаря на 2022 год с четырёх релизов до трёх, стоит задуматься о темпах разработки движка и о том, не следует ли приложить больше усилий, чтобы гарантировать, что уязвимости не будут опубликованы в открытом доступе.
Проблемы санации данных в WordPress
Санация данных – это способ контролировать, какая информация попадает в базу данных на входе. База данных – это место, где хранится информация о сайте, включая пароли, имена и данные пользователей, контент и другую информацию, необходимую для функционирования сайта.
В документации WordPress санация данных описывается следующим образом:
Это процесс очистки или фильтрации входных данных. Независимо от того, поступают ли данные от пользователя, API или веб-сервиса, вы используете санацию, когда не знаете, чего ожидать, или не хотите быть строгими с проверкой данных.
В документации говорится, что WordPress предоставляет встроенные вспомогательные функции для защиты от вредоносных входных данных, и что использование этих вспомогательных функций требует минимальных усилий.
WordPress предвидит шестнадцать видов уязвимостей ввода и предлагает решения для их блокировки. Поэтому удивительно, что проблемы с санацией ввода до сих пор возникают в самом ядре движка.
Универсальный совет: обновляйтесь как можно чаще
Поскольку уязвимости открылись для относительно широкой публики, самым надёжным решением будет обновление WordPress до последней версии. Сейчас это 5.8.3.
Да и вообще, если вы зарабатываете деньги в интернете, создавая, продвигая и монетизируя сайты, выработайте у себя две полезные привычки: регулярно производить бэкапы и обновления.
Обновить движок или плагин – дело пары минут. А вот с последствиями взлома придётся, скорее всего, разбираться несколько дней или недель. Поэтому не ленитесь!
Источники данных
- Официальный релиз безопасности WordPress 5.8.3.
- Межсайтовый скриптинг (XSS) через аутентифицированных пользователей.
- SQL-инъекция через WP_Query из-за неправильной санации.
- SQL-инъекция из-за проблем санации данных в WP_Meta_Query.
- Инъекция аутентифицированных объектов в мультисайте.
СТАТЬИ ИЗ РУБРИКИ:
- Google опубликовал самые популярные поисковые запросы 2021 года
- Как Duolingo набрали 2 миллиона подписчиков в TikTok с помощью совы и юмора
- The Motley Fool: как зарабатывать миллионы на советах по инвестициям
- Дивный новый мир виртуальных знаменитостей и блогеров
- Злоумышленники предлагают забанить кого угодно в Инстаграм
- InVideo: универсальный онлайн видеоредактор для социальных сетей [обзор]
- Как крупные фармацевтические компании находят больных пользователей на Facebook
- Как AirTable ранжируется в поисковой выдаче по 50000 ключевых слов
- Самые востребованные профессии 2021 года по версии LinkedIn
- Jio: как бесплатный безлимитный 4G интернет произвёл революцию на рынке Индии
