A WordPress 6.0.3 biztonsági kiadásának összefoglalója

A mai napon bejelentették a WordPress új biztonsági kiadását. 2022. október 17-én a WordPress Core kiadta a 6.0.3 -as , csak biztonsági kiadást. Ez a kiadás jelentős számú biztonsági hibajavítást tartalmaz amit megosztok veled (igyekszem) ebben a bejegyzésben.

Minden biztonsági kiadás fontos. Érdemes lehet hamarosan ütemezni a WordPress-telepítések frissítését, de a jó hír az, hogy ebben a kiadásban nincsenek nagy vagy kritikus kockázatú biztonsági hibák. Nem kell mindent eldobni ahhoz, hogy ma telepítsd ezt a javítást, de a legjobb, ha hamarosan szakítasz egy kis időt a naptáradban.

A biztonsági hibák közül a legnagyobb súlyossági kockázat a “közepes” volt. A javított hibák közül sok “alacsony” súlyosságú, mivel hitelesítést igényelnek támadásként, és korlátozott hatásuk van.

A legnagyobb kockázatú hibák a nyitott átirányításhoz, a kiszivárgott címkékhez vagy a kifejezések értékéhez a nem közzétett bejegyzésekben vagy a hitelesített XSS-hez kapcsolódnak.

Ez a biztonsági kiadás 11+ biztonsági kutató és 28+ WordPress.org önkéntes és fejlesztő segítségével jött létre. Most már a több mint 450 millió WordPress-webhely-tulajdonoson múlik, hogy kivegye a részét és alkalmazza a javítást.

A 3.7-es verzióig visszamenőleg minden jelentősebb WordPress-kiadás ma kapott új kisebb verziót, amely javításokat tartalmaz a biztonsági hibák kiküszöbölésére. Ez egy elképesztő 9 éves támogatás a 3.7-es ág számára. Aminek hamarosan lejár… Alig több mint egy hónap múlva pontosabban, 2022. december 1-től a háttérportált biztonsági javítások csak a WordPress 4.1-es verziójához fognak eljutni. Ha a WordPress 3.7-től 4.0-ig terjedő verziót használsz, frissítened kell webhelyeid egy támogatott fő kiadásra (4.1 vagy újabb), hogy továbbra is megkapd a biztonsági javításokat.

A javított hibák lebontása

Rövid összefoglaló a biztonsági hibák javításairól, és mindegyikhez egy CVSS súlyossági pontszám lett rendelve.

A legnagyobb kockázatú biztonsági hibák.

Úgy tűnik, ez a két biztonsági hiba jelenti a legnagyobb kockázatot. Nem igényelnek engedélyt, és felfegyverezhetik az alapértelmezett WordPress konfigurációk elleni támadást.

A jó hír az, hogy egy sikeres támadásnak nagyon korlátozott hatása lenne. A nyílt átirányítások megkövetelik a felhasználó becsapását, és a bejegyzés címkéinek és kifejezéseinek értékei jelentéktelenek lehetnek, ha kiszivárogtatják a közzététel előtt.

  • Nyílt átirányítás: wp_nonce_ays
    CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N — 4.3 (Közepes)
    Nyílt átirányítás ellen véd, amely lehetővé teheti a támadó számára, hogy hivatkozást adjon a WordPress webhely domain nevére, de átirányíthat egy másik, a támadó által választott URL-re. Ez az adathalász támadásokkal párhuzamosan használható.
  • A REST végpont kifejezéseket vagy címkéket adhat vissza nem nyilvános bejegyzésekben
    CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N — 5.3 (Közepes)
    Megakadályozza, hogy a WordPress REST végpontok a közzé nem tett bejegyzések kifejezéseinek vagy címkéinek értékeit adják ki. Ez azt eredményezheti, hogy a nem hitelesített felhasználók visszakereshetik egy nem közzétett bejegyzés feltételeit vagy címke értékeit, de a bejegyzés tartalmát nem.

Bejegyzés e-mailen keresztül hiba.

A javított biztonsági hibák közül kettő a wp-mail.php fájlhoz kapcsolódik. Csak azokat a WordPress-webhelyeket érintik, amelyeknél a „Közzététel e-mailben” beállítás engedélyezve és konfigurálva van. Az alapértelmezett WordPress-telepítéseknél nincs beállítva a „Közzététel e-mailben” funkció.

Ellenőrizheted, hogy a “Közzététel e-mailben” engedélyezve van-e a wp-admin “Beállítások > Írás” oldalán.

Ha be van állítva a „Közzététel e-mailben” funkció, akkor mielőbb frissítened kell a 6.0.3-as biztonsági kiadásra. Az ezzel kapcsolatos kockázatok közé tartozhat az e-mail címek kiszivárogtatása, valamint az, hogy a szerzők tetszőleges HTML-t (XSS payloads) tehetnek közzé e-mail alapú bejegyzéseikben.

  • Tárolt XSS a wp-mail.php-n keresztül
    CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N — 3.7 (alacsony)
    Javítás a WordPress postafiók-írási funkciójához, hogy az alacsonyabb jogosultságokkal rendelkező felhasználók tetszőleges HTML-t (pl. XSS-t) ne tehessenek közzé.
  • A feladó e-mail-címe wp-mail.php
    CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N – 3.1 -en keresztül érhető el (Alacsony)
    Javítja és megakadályozza a feladó e-mail címének adatszivárgását azáltal, hogy többé nem adja meg a szerző e-mail címét a wp-mail.php fájlban, amely nyilvánosan elérhető lehet bármely látogató számára, ha egy webhely engedélyezte és konfigurálta a “Közzététel e-mailben” funkciót Beállítások > Írás.

Webhelyek közötti szkriptelés (XSS.)

  • Az XSS tükröződik SQLi-n keresztül a Media Library
    ben CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:N/I:L/A:N — 2.6 (alacsony)
    Ez a biztonsági hibajavítás olyan problémát orvosol, amely miatt SQL-befecskendezés létezhet a médiakönyvtárban, és a válasz tartalmazhat XSS-adatot. A támadáshoz elég magas jogosultsági szintre van szükség ahhoz, hogy a WordPress médiakönyvtárával működjön.
  • Tárolt XSS a testreszabón keresztül
    CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N — 4.3 (Közepes)
    A ​​WordPress testreszabás menüben javították a felhasználó által bevitt adatok kezelését, amelyek XSS-hez vezethetnek egy hitelesített felhasználó által, aki hozzáfér a testreszabás menühöz.
  • Tárolt XSS az RSS
    Widgetben CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N — 4.3 (Közepes)
    Biztonsági szigorítás RSS Widgethez, ez a javítás valószínűleg kapcsolódik vagy támogatja az alábbi Gutenberg RSS widget javítást.
  • Tárolt XSS a megjegyzésszerkesztésben
    CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:N/I:L/A:N — 2.6 (alacsony)

És még pár extra:

  • CSRF – wp-trackback.php
    CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N — 4.3 (Közepes)
  • Megosztott felhasználói példányok visszaállítása
    CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:N/I:L/A:N 2.6 (alacsony)
  • A többrészes e-mailek tartalmat szivárogtatnak ki, ha HTML-t/sima szöveget használunk
    CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N — 3,7 (alacsony)
  • SQL-befecskendezés a WP_Date_Query-ben továbbfejlesztett “sanitization
    CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N — 3.7 (alacsony)

Gutenberg specifikus biztonsági hibák

Az összes Gutenberg biztonsági hibajavítás a szerkesztő továbbfejlesztett biztonsági szigorításaként foglalható össze. Mindegyikhez felhasználói hitelesítés szükséges, aki jogosult a bejegyzések szerkesztésére vagy hozzáadására a WordPress-ben (pl. elég magas hozzáférési szint a Gutenberg-szerkesztő használatához).

  • XSS a keresési blokkban
    CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N — 4.3 (Közepes)
  • XSS az RSS blokkban
    CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N — 4.3 (Közepes)
  • XSS a Feature Image blokkban
    CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N — 4.3 (Közepes)
  • XSS a Widget blokkban
    CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N — 4.3 (Közepes)

A WordPress 6.0.3-as biztonsági kiadása nagyszámú biztonsági hibával foglalkozik, de a súlyosság csak akkora, mint a legnagyobb kockázattal javított hiba. Ami csak “közepes”. Fontos a javítás, de ezek a hibák egyike sem jelent vészhelyzeti kockázatot.

Köszönet illeti a WordPress.org csapatát és a biztonsági kutatókat, akik hozzájárultak az eredményekhez. Több mint tucatnyi biztonsági hiba javítása egy kiadásban megmutatja, mennyi munka folyik a nyílt forráskódú WordPress projekt biztonsága érdekében.

Ez lehet az utolsó biztonsági kiadás, amely a WordPress régebbi verzióihoz (a 4.1 előtti) háttérportolt biztonsági javításokat tartalmaz majd.

(forrás patchstack)