W dwóch wtyczkach buforujących dla WordPressa wykryto znaczącą lukę. Mianowicie, Super pamięć podręczna WP I Całkowita pamięć podręczna W3.
Obie są bardzo popularnymi wtyczkami, dzięki którym witryny działają szybciej i są bardziej zgodne z nadchodzącą aktualizacją Google dotyczącą jakości stron.
Wielu dostawców usług hostingowych poleca obie wtyczki, aby zwiększyć szybkość strony, a ponad sześć osób korzysta z obu w swoich witrynach WordPress.
Luka ta znana jest jako zdalne wykonanie kodu
Ta nowa luka należy do kategorii zdalnego wykonania kodu, a jej tak poważna jest to, że wpływa na każdą instalację WordPressa, która ma włączoną opcję komentowania na blogu.
Po raz pierwszy zgłosił to użytkownik Kisscsaby oficjalne forum WordPressa.
Co to jest zdalne wykonanie kodu?
Bezpośredni Nauka wyjaśnia zdalne wykonanie kodu następująco:
„Zdalne wykonanie kodu zawsze odbywa się za pomocą zautomatyzowanego narzędzia. Próba ręcznego zdalnego wykonania kodu byłaby w najlepszym razie prawie niemożliwa. Ataki te są zwykle zapisywane w zautomatyzowanym skrypcie. Celem zdalnego wykonania dowolnego kodu jest najczęściej zapewnienie użytkownikowi zdalnemu dostępu administracyjnego do podatnego systemu. Atak jest zwykle poprzedzony atakiem polegającym na gromadzeniu informacji, podczas którego osoba atakująca wykorzystuje pewne środki, takie jak automatyczne narzędzie skanujące, w celu zidentyfikowania podatnej wersji oprogramowania. Po zidentyfikowaniu osoba atakująca wykonuje skrypt przeciwko programowi, mając nadzieję na uzyskanie lokalnego dostępu administracyjnego na hoście.
Gdy osoba atakująca uzyska lokalny dostęp administracyjny do systemu, inicjuje proces. Osoba atakująca zrobi wszystko, co w jego mocy, aby ukryć swoją obecność w systemie. Następnie może wykorzystać zaatakowany host do przeprowadzenia ataków polegających na zdalnym wykonaniu dowolnego kodu na inne hosty.
Chociaż zdalne wykonanie dowolnego kodu może pozwolić osobie atakującej na wykonanie poleceń w systemie, podlega to pewnym ograniczeniom.
Przykład exploita
Netsparker.com udostępnia przykład omawianego exploita służącego do oceny kodu:
„Chcesz mieć dynamicznie generowane nazwy zmiennych dla każdego użytkownika i przechowywać jego datę rejestracji. Oto jak można to zrobić w PHP:eval(“\$$user = ‘$regdate’);
Ponieważ nazwa użytkownika jest zazwyczaj wprowadzana przez użytkownika, osoba atakująca może wygenerować następującą nazwę:
x = ‘y’;phpinfo();//
Wynikowy kod php wyglądałby teraz tak:
$x = ‘y’;phpinfo();// = ‘2016’;
Jak widać zmienna nazywa się teraz x i ma wartość y. Gdy atakujący będzie w stanie przypisać tę wartość do zmiennej, może rozpocząć nowe polecenie za pomocą średnika (;). Może teraz skomentować resztę ciągu, aby uniknąć błędów składniowych. Jeśli wykona ten kod, na stronie pojawią się dane wyjściowe phpinfo. Należy pamiętać, że jest to możliwe nie tylko w PHP, ale także w każdym innym języku wyposażonym w funkcje oceniające dane wejściowe.
Wydano poprawkę dla WP Super Cache; Aktualizuj natychmiast
W odpowiedzi na to zagrożenie twórca wtyczki WP Super Cache wypuścił łatkę i zaleca wszystkim użytkownikom niezwłoczną aktualizację wtyczki do wersji 1.7.2.
Pamiętaj, aby pobrać aktualizację, aby jak najszybciej przywrócić bezpieczeństwo swojej witryny.
Jednak w chwili pisania tego tekstu nie ma żadnej wiadomości od W3 Total Cache na temat jakichkolwiek aktualizacji lub poprawek. Jeśli więc jesteś jednym z wielu użytkowników wtyczki, miej świadomość, że może ona narażać Twoją witrynę na ryzyko, dopóki jej luka nie zostanie naprawiona.
