O ile aktualizacja WordPressa do 4.7.1 na liście zmian zawierała sporo przekonujących do aktualizacji elementów (jakby trafił się ktoś odporny na aktualizacje), to aktualizacja 4.7.2, która pojawiła się pod koniec stycznia niby coś tam łatała, ale czułem jakiś niedosyt, że musi tu być coś więcej. I jak się właśnie okazało, faktycznie aktualizacja skrywała jeszcze jeden sekret, dość poważny…
Spis treści w artykule
WordPress Content Injection (REST API)
(…) we discovered was a severe content injection (privilege escalation) vulnerability affecting the REST API. This vulnerability allows an unauthenticated user to modify the content of any post or page within a WordPress site.
(…)
This privilege escalation vulnerability affects the WordPress REST API that was recently added and enabled by default on WordPress 4.7.0.
One of these REST endpoints allows access (via the API) to view, edit, delete and create posts. Within this particular endpoint, a subtle bug allows visitors to edit any post on the site.
Również lista zmian na stronie WordPressa została zaktualizowana o ten punkt (wcześniej pominięty ze względów bezpieczeństwa):
An unauthenticated privilege escalation vulnerability was discovered in a REST API endpoint. Reported by Marc-Alexandre Montpas of Sucuri Security.
Najlepsza obrona, to (regularna) aktualizacja
Zapewne zaraz (standardowo) pojawią się głosy, że z tego powodu lepsze są autorskie systemy zarządzania treścią (CMS) stosowane przez niektóre agencje (interaktywne). Oczywiście jest to nadinterpretacja faktów, i gdyby taka podatność pojawiła się w jakimś autorskim CMSie małej (ale i większej, czy też dużej) agencji, to być może nigdy byśmy się o tej podatności nie dowiedzieli, pewnie tak samo jak i sama agencja… A ta, mamy wprawdzie podatność, ale mamy i szybką reakcję (aktualizacja, i to w dodatku w domyślnej konfiguracji automatyczna).
Cloudflare Web Application Firewall
Jeśli korzystacie z usługi Cloudflare (naprawdę zachęcam, nie tylko ze względów na większe bezpieczeństwo) to nawet w przypadku braku natychmiastowej aktualizacji (ale naprawdę nie ma co czekać – aktualizować!) jesteście dodatkowo chronieni za pomocą reguł WAF (Web Application Firewall).
Wprawdzie w standardzie dostepne są tylko w płatnych planach, to tak jak w przypadku kilku innych “poważniejszych podatności” odpowiednie reguły zostały automatycznie aktywowane również na domenach (stronach) korzystających z bezpłatnego planu.
| Lub postaw nam kawę :-)
Pasjonat nowych technologii - od sprzętu po oprogramowanie, od serwerów po smartfony i rozwiązania IoT. Potencjalnie kiepski bloger, bo nie robi zdjęć "talerza" zanim zacznie jeść.
Dumny przyjaciel swoich psów :-)
- Mały dron, duże zamieszanie, czyli seria DJI Mini i zabawa w klasy (unijne klasy dla dronów) z EASA i użytkownikami - 1970-01-01
- Opcja “restore_from_flash”, czyli sposób na zapamiętywanie ustawień w ESPHome na układach ESP8266 - 1970-01-01
- Blokowe szablony powiadomień (block notice) w WooCommerce, nawet w klasycznych motywach - 1970-01-01
