Można edytować wpisy w WordPressie bez uprawnień – dziękujemy za domyślne włączenie REST API

Niedawna duża aktualizacja WordPressa, oznaczona numerem 4.7.0,przyniosła obok wielu zmian funkcjonalnych tego ogromnie popularnegoCMS-a także kilka zmian pod maską. M.in. włączono domyślnieobsługę API REST, pozwalając zalogowanym użytkownikom naprogramistyczne zarządzanie wpisami – ich tworzenie, usuwanie iedytowanie. Zalogowanym? Tak przynajmniej wydawało się deweloperomWordPressa. Badacze z firmy Sucuri odkryli, że źle im sę wydawało.W rzeczywistości przez REST API każdy może edytować zawartośćdowolnej strony – dotyczy to zarówno wersji 4.7.0 jak ipoprawkowej 4.7.1. Jeśli macie witrynę na WordPressie, jaknajszybciej zaktualizujcie go do wersji 4.7.2.

Szczegółowe informacje opodatności znajdziemy na blogu Sucuri.net. Mówiąc w skrócie,popełniono błąd związany z rzutowaniem zmiennych w PHP, któryumożliwia napastnikowi obejście metody sprawdzającej, czyużytkownik ma uprawnienia do edycji wpisu. Jeśli zna onidentyfikator (ID), może przekazać spreparowane żądanie w postacinp. /wp-json/wp/v2/posts/123?id=456ABC, by zmienić wpis o ID 456.

W metodzie dochodzi bowiem w pewnym momencie do żonglowania typemprzekazywanej zmiennej, WordPress zamienia parametr ID w liczbęcałkowitą przed przekazaniem jej do metody pobrania wpisu.Napastnik może wówczas nie tylko zmienić zawartość witryny, aleteż dodać do niej skróty kodowe (shortcodes), by wykorzystaćsłabości znanych zainstalowanych wtyczek, a nawet uruchomić własnykod PHP.

Wygląda na to, że taką próbę ataku przeprowadzają jużzautomatyzowane boty, więc pewnie sporo witryn w Sieci już mogłozostać przejętych. Zalecamy więc zaktualizowanie WordPressa dowersji 4.7.2, tymbardziej, że gotowyexploit już jest dostępny dla każdego script-kiddie. Apo zaktualizowaniu – zainstalowanie wtyczki DisableREST API, która zmniejszy powierzchnię ataku. Kto wie, ilebłędów w WordPressie jeszcze będzie?