Envato Elements - pobieraj co chcesz, ile chcesz

O ile aktualizacja WordPressa do 4.7.1 na liście zmian zawierała sporo przekonujących do aktualizacji elementów (jakby trafił się ktoś odporny na aktualizacje), to aktualizacja 4.7.2, która pojawiła się pod koniec stycznia niby coś tam łatała, ale czułem jakiś niedosyt, że musi tu być coś więcej. I jak się właśnie okazało, faktycznie aktualizacja skrywała jeszcze jeden sekret, dość poważny…

WordPress Content Injection (REST API)

Na blogu Sucuri pojawił się artykuł, w którym opisywana jest dość poważna podatność (otrzymała ocenę 9/10) związana z REST API (domyślnie włączone w WordPressie 4.7 i 4.7.1), a konkretnie możliwością podmiany zawartości dowolnego wpisu lub strony:

(…) we discovered was a severe content injection (privilege escalation) vulnerability affecting the REST API. This vulnerability allows an unauthenticated user to modify the content of any post or page within a WordPress site.

(…)

This privilege escalation vulnerability affects the WordPress REST API that was recently added and enabled by default on WordPress 4.7.0.

One of these REST endpoints allows access (via the API) to view, edit, delete and create posts. Within this particular endpoint, a subtle bug allows visitors to edit any post on the site.

Również lista zmian na stronie WordPressa została zaktualizowana o ten punkt (wcześniej pominięty ze względów bezpieczeństwa):

An unauthenticated privilege escalation vulnerability was discovered in a REST API endpoint. Reported by Marc-Alexandre Montpas of Sucuri Security.

Najlepsza obrona, to (regularna) aktualizacja

Zapewne zaraz (standardowo) pojawią się głosy, że z tego powodu lepsze są autorskie systemy zarządzania treścią (CMS) stosowane przez niektóre agencje (interaktywne). Oczywiście jest to nadinterpretacja faktów, i gdyby taka podatność pojawiła się w jakimś autorskim CMSie małej (ale i większej, czy też dużej) agencji, to być może nigdy byśmy się o tej podatności nie dowiedzieli, pewnie tak samo jak i sama agencja… A ta, mamy wprawdzie podatność, ale mamy i szybką reakcję (aktualizacja, i to w dodatku w domyślnej konfiguracji automatyczna).

CloudFlare Web Application Firewall

Jeśli korzystacie z usługi CloudFlare (naprawdę zachęcam, nie tylko ze względów na większe bezpieczeństwo) to nawet w przypadku braku natychmiastowej aktualizacji (ale naprawdę nie ma co czekać – aktualizować!) jesteście dodatkowo chronieni za pomocą reguł WAF (Web Application Firewall).

Wprawdzie w standardzie dostepne są tylko w płatnych planach, to tak jak w przypadku kilku innych „poważniejszych podatności” odpowiednie reguły zostały automatycznie aktywowane również na domenach (stronach) korzystających z bezpłatnego planu.

(!) Zgłoś błąd na stronie
Potrzebujesz profesjonalnej pomocy? Skontaktuj się z nami!
Spodobał Ci się artykuł? Zapisz się do naszego Newslettera - ZERO SPAMu, same konkrety, oraz dostęp do dodatkowych materiałów przeznaczonych dla subskrybentów!
Na podany adres e-mail otrzymasz od nas wiadomość e-mail, w której znajdziesz link do potwierdzenia subskrypcji naszego Newslettera. Dzięki temu mamy pewność, że nikt nie dodał Twojego adresu przez przypadek. Jeśli wiadomość nie przyjdzie w ciągu najbliższej godziny (zazwyczaj jest to maksymalnie kilka minut) sprawdź folder SPAM.
Młody Szymon powiedział tacie o promocji dla czytelników WebInsider.pl i zaoszczędzili 80% na księgowości internetowej wFirma
WebInsider poleca księgowość wFirma
WebInsider korzysta z VPSa w HitMe.pl
WebInsider poleca VPSy DigitalOcean
WebInsider poleca serwis Vindicat
Napisz komentarz
wipl_napisz-komentarz_01Jeśli informacje zawarte na tej stronie okazały się pomocne, możesz nam podziękować zostawiając poniżej swój komentarz.

W tej formie możesz również zadać dodatkowe pytania dotyczące wpisu, na które – w miarę możliwości – spróbujemy Ci odpowiedzieć.
Linki partnerskie
Niektóre z linków na tej stronie to tzw. „linki partnerskie”, co oznacza, że jeśli klikniesz na link i dokonasz wymaganej akcji (np. zakup/rejestracja) możemy otrzymać za to prowizję. Pamiętaj, że polecamy tylko te produkty i usługi, z których sami korzystamy, i uważamy, że są tego na prawdę warte… :-)
Znaki towarowe i nazwy marek
W niektórych wpisach (oraz innych miejscach na stronie) mogą być przedstawione/użyte znaki towarowe i/lub nazwy marek, które stanowią własność intelektualną tych podmiotów, a zostały użyte wyłącznie w celach informacyjnych.
Monika ćwiczy przed kongresem ko..., ale zapisała się do Newslettera WebInsider.pl, choć... i tak nic nie widzi