A mai napon bejelentették a WordPress új biztonsági kiadását. 2022. október 17-én a WordPress Core kiadta a 6.0.3 -as , csak biztonsági kiadást. Ez a kiadás jelentős számú biztonsági hibajavítást tartalmaz amit megosztok veled (igyekszem) ebben a bejegyzésben.
Minden biztonsági kiadás fontos. Érdemes lehet hamarosan ütemezni a WordPress-telepítések frissítését, de a jó hír az, hogy ebben a kiadásban nincsenek nagy vagy kritikus kockázatú biztonsági hibák. Nem kell mindent eldobni ahhoz, hogy ma telepítsd ezt a javítást, de a legjobb, ha hamarosan szakítasz egy kis időt a naptáradban.
A biztonsági hibák közül a legnagyobb súlyossági kockázat a “közepes” volt. A javított hibák közül sok “alacsony” súlyosságú, mivel hitelesítést igényelnek támadásként, és korlátozott hatásuk van.
A legnagyobb kockázatú hibák a nyitott átirányításhoz, a kiszivárgott címkékhez vagy a kifejezések értékéhez a nem közzétett bejegyzésekben vagy a hitelesített XSS-hez kapcsolódnak.
Ez a biztonsági kiadás 11+ biztonsági kutató és 28+ WordPress.org önkéntes és fejlesztő segítségével jött létre. Most már a több mint 450 millió WordPress-webhely-tulajdonoson múlik, hogy kivegye a részét és alkalmazza a javítást.
A 3.7-es verzióig visszamenőleg minden jelentősebb WordPress-kiadás ma kapott új kisebb verziót, amely javításokat tartalmaz a biztonsági hibák kiküszöbölésére. Ez egy elképesztő 9 éves támogatás a 3.7-es ág számára. Aminek hamarosan lejár… Alig több mint egy hónap múlva pontosabban, 2022. december 1-től a háttérportált biztonsági javítások csak a WordPress 4.1-es verziójához fognak eljutni. Ha a WordPress 3.7-től 4.0-ig terjedő verziót használsz, frissítened kell webhelyeid egy támogatott fő kiadásra (4.1 vagy újabb), hogy továbbra is megkapd a biztonsági javításokat.
A javított hibák lebontása
Rövid összefoglaló a biztonsági hibák javításairól, és mindegyikhez egy CVSS súlyossági pontszám lett rendelve.
A legnagyobb kockázatú biztonsági hibák.
Úgy tűnik, ez a két biztonsági hiba jelenti a legnagyobb kockázatot. Nem igényelnek engedélyt, és felfegyverezhetik az alapértelmezett WordPress konfigurációk elleni támadást.
A jó hír az, hogy egy sikeres támadásnak nagyon korlátozott hatása lenne. A nyílt átirányítások megkövetelik a felhasználó becsapását, és a bejegyzés címkéinek és kifejezéseinek értékei jelentéktelenek lehetnek, ha kiszivárogtatják a közzététel előtt.
- Nyílt átirányítás: wp_nonce_ays
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N — 4.3 (Közepes)
Nyílt átirányítás ellen véd, amely lehetővé teheti a támadó számára, hogy hivatkozást adjon a WordPress webhely domain nevére, de átirányíthat egy másik, a támadó által választott URL-re. Ez az adathalász támadásokkal párhuzamosan használható. - A REST végpont kifejezéseket vagy címkéket adhat vissza nem nyilvános bejegyzésekben
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N — 5.3 (Közepes)
Megakadályozza, hogy a WordPress REST végpontok a közzé nem tett bejegyzések kifejezéseinek vagy címkéinek értékeit adják ki. Ez azt eredményezheti, hogy a nem hitelesített felhasználók visszakereshetik egy nem közzétett bejegyzés feltételeit vagy címke értékeit, de a bejegyzés tartalmát nem.
Bejegyzés e-mailen keresztül hiba.
A javított biztonsági hibák közül kettő a wp-mail.php fájlhoz kapcsolódik. Csak azokat a WordPress-webhelyeket érintik, amelyeknél a „Közzététel e-mailben” beállítás engedélyezve és konfigurálva van. Az alapértelmezett WordPress-telepítéseknél nincs beállítva a „Közzététel e-mailben” funkció.
Ellenőrizheted, hogy a “Közzététel e-mailben” engedélyezve van-e a wp-admin “Beállítások > Írás” oldalán.
Ha be van állítva a „Közzététel e-mailben” funkció, akkor mielőbb frissítened kell a 6.0.3-as biztonsági kiadásra. Az ezzel kapcsolatos kockázatok közé tartozhat az e-mail címek kiszivárogtatása, valamint az, hogy a szerzők tetszőleges HTML-t (XSS payloads) tehetnek közzé e-mail alapú bejegyzéseikben.
- Tárolt XSS a wp-mail.php-n keresztül
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N — 3.7 (alacsony)
Javítás a WordPress postafiók-írási funkciójához, hogy az alacsonyabb jogosultságokkal rendelkező felhasználók tetszőleges HTML-t (pl. XSS-t) ne tehessenek közzé. - A feladó e-mail-címe wp-mail.php
CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N – 3.1 -en keresztül érhető el (Alacsony)
Javítja és megakadályozza a feladó e-mail címének adatszivárgását azáltal, hogy többé nem adja meg a szerző e-mail címét a wp-mail.php fájlban, amely nyilvánosan elérhető lehet bármely látogató számára, ha egy webhely engedélyezte és konfigurálta a “Közzététel e-mailben” funkciót Beállítások > Írás.
Webhelyek közötti szkriptelés (XSS.)
- Az XSS tükröződik SQLi-n keresztül a Media Library
ben CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:N/I:L/A:N — 2.6 (alacsony)
Ez a biztonsági hibajavítás olyan problémát orvosol, amely miatt SQL-befecskendezés létezhet a médiakönyvtárban, és a válasz tartalmazhat XSS-adatot. A támadáshoz elég magas jogosultsági szintre van szükség ahhoz, hogy a WordPress médiakönyvtárával működjön. - Tárolt XSS a testreszabón keresztül
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N — 4.3 (Közepes)
A WordPress testreszabás menüben javították a felhasználó által bevitt adatok kezelését, amelyek XSS-hez vezethetnek egy hitelesített felhasználó által, aki hozzáfér a testreszabás menühöz. - Tárolt XSS az RSS
Widgetben CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N — 4.3 (Közepes)
Biztonsági szigorítás RSS Widgethez, ez a javítás valószínűleg kapcsolódik vagy támogatja az alábbi Gutenberg RSS widget javítást. - Tárolt XSS a megjegyzésszerkesztésben
CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:N/I:L/A:N — 2.6 (alacsony)
És még pár extra:
- CSRF – wp-trackback.php
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N — 4.3 (Közepes) - Megosztott felhasználói példányok visszaállítása
CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:N/I:L/A:N 2.6 (alacsony) - A többrészes e-mailek tartalmat szivárogtatnak ki, ha HTML-t/sima szöveget használunk
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N — 3,7 (alacsony) - SQL-befecskendezés a WP_Date_Query-ben továbbfejlesztett “sanitization”
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N — 3.7 (alacsony)
Gutenberg specifikus biztonsági hibák
Az összes Gutenberg biztonsági hibajavítás a szerkesztő továbbfejlesztett biztonsági szigorításaként foglalható össze. Mindegyikhez felhasználói hitelesítés szükséges, aki jogosult a bejegyzések szerkesztésére vagy hozzáadására a WordPress-ben (pl. elég magas hozzáférési szint a Gutenberg-szerkesztő használatához).
- XSS a keresési blokkban
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N — 4.3 (Közepes) - XSS az RSS blokkban
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N — 4.3 (Közepes) - XSS a Feature Image blokkban
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N — 4.3 (Közepes) - XSS a Widget blokkban
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N — 4.3 (Közepes)
A WordPress 6.0.3-as biztonsági kiadása nagyszámú biztonsági hibával foglalkozik, de a súlyosság csak akkora, mint a legnagyobb kockázattal javított hiba. Ami csak “közepes”. Fontos a javítás, de ezek a hibák egyike sem jelent vészhelyzeti kockázatot.
Köszönet illeti a WordPress.org csapatát és a biztonsági kutatókat, akik hozzájárultak az eredményekhez. Több mint tucatnyi biztonsági hiba javítása egy kiadásban megmutatja, mennyi munka folyik a nyílt forráskódú WordPress projekt biztonsága érdekében.
Ez lehet az utolsó biztonsági kiadás, amely a WordPress régebbi verzióihoz (a 4.1 előtti) háttérportolt biztonsági javításokat tartalmaz majd.
(forrás patchstack)