r   e   k   l   a   m   a
r   e   k   l   a   m   a

Można edytować wpisy w WordPressie bez uprawnień – dziękujemy za domyślne włączenie REST API

Strona główna AktualnościBEZPIECZEŃSTWO

Niedawna duża aktualizacja WordPressa, oznaczona numerem 4.7.0, przyniosła obok wielu zmian funkcjonalnych tego ogromnie popularnego CMS-a także kilka zmian pod maską. M.in. włączono domyślnie obsługę API REST, pozwalając zalogowanym użytkownikom na programistyczne zarządzanie wpisami – ich tworzenie, usuwanie i edytowanie. Zalogowanym? Tak przynajmniej wydawało się deweloperom WordPressa. Badacze z firmy Sucuri odkryli, że źle im sę wydawało. W rzeczywistości przez REST API każdy może edytować zawartość dowolnej strony – dotyczy to zarówno wersji 4.7.0 jak i poprawkowej 4.7.1. Jeśli macie witrynę na WordPressie, jak najszybciej zaktualizujcie go do wersji 4.7.2.

Szczegółowe informacje o podatności znajdziemy na blogu Sucuri.net. Mówiąc w skrócie, popełniono błąd związany z rzutowaniem zmiennych w PHP, który umożliwia napastnikowi obejście metody sprawdzającej, czy użytkownik ma uprawnienia do edycji wpisu. Jeśli zna on identyfikator (ID), może przekazać spreparowane żądanie w postaci np. /wp-json/wp/v2/posts/123?id=456ABC, by zmienić wpis o ID 456.

W metodzie dochodzi bowiem w pewnym momencie do żonglowania typem przekazywanej zmiennej, WordPress zamienia parametr ID w liczbę całkowitą przed przekazaniem jej do metody pobrania wpisu. Napastnik może wówczas nie tylko zmienić zawartość witryny, ale też dodać do niej skróty kodowe (shortcodes), by wykorzystać słabości znanych zainstalowanych wtyczek, a nawet uruchomić własny kod PHP.

r   e   k   l   a   m   a

Wygląda na to, że taką próbę ataku przeprowadzają już zautomatyzowane boty, więc pewnie sporo witryn w Sieci już mogło zostać przejętych. Zalecamy więc zaktualizowanie WordPressa do wersji 4.7.2, tym bardziej, że gotowy exploit już jest dostępny dla każdego script-kiddie. A po zaktualizowaniu – zainstalowanie wtyczki Disable REST API, która zmniejszy powierzchnię ataku. Kto wie, ile błędów w WordPressie jeszcze będzie?

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.