O ile aktualizacja WordPressa do 4.7.1 na liście zmian zawierała sporo przekonujących do aktualizacji elementów (jakby trafił się ktoś odporny na aktualizacje), to aktualizacja 4.7.2, która pojawiła się pod koniec stycznia niby coś tam łatała, ale czułem jakiś niedosyt, że musi tu być coś więcej. I jak się właśnie okazało, faktycznie aktualizacja skrywała jeszcze jeden sekret, dość poważny…

WordPress Content Injection (REST API)

Na blogu Sucuri pojawił się artykuł, w którym opisywana jest dość poważna podatność (otrzymała ocenę 9/10) związana z REST API (domyślnie włączone w WordPressie 4.7 i 4.7.1), a konkretnie możliwością podmiany zawartości dowolnego wpisu lub strony:

(…) we discovered was a severe content injection (privilege escalation) vulnerability affecting the REST API. This vulnerability allows an unauthenticated user to modify the content of any post or page within a WordPress site.

(…)

This privilege escalation vulnerability affects the WordPress REST API that was recently added and enabled by default on WordPress 4.7.0.

One of these REST endpoints allows access (via the API) to view, edit, delete and create posts. Within this particular endpoint, a subtle bug allows visitors to edit any post on the site.

Również lista zmian na stronie WordPressa została zaktualizowana o ten punkt (wcześniej pominięty ze względów bezpieczeństwa):

An unauthenticated privilege escalation vulnerability was discovered in a REST API endpoint. Reported by Marc-Alexandre Montpas of Sucuri Security.

Najlepsza obrona, to (regularna) aktualizacja

Zapewne zaraz (standardowo) pojawią się głosy, że z tego powodu lepsze są autorskie systemy zarządzania treścią (CMS) stosowane przez niektóre agencje (interaktywne). Oczywiście jest to nadinterpretacja faktów, i gdyby taka podatność pojawiła się w jakimś autorskim CMSie małej (ale i większej, czy też dużej) agencji, to być może nigdy byśmy się o tej podatności nie dowiedzieli, pewnie tak samo jak i sama agencja… A ta, mamy wprawdzie podatność, ale mamy i szybką reakcję (aktualizacja, i to w dodatku w domyślnej konfiguracji automatyczna).

CloudFlare Web Application Firewall

Jeśli korzystacie z usługi CloudFlare (naprawdę zachęcam, nie tylko ze względów na większe bezpieczeństwo) to nawet w przypadku braku natychmiastowej aktualizacji (ale naprawdę nie ma co czekać – aktualizować!) jesteście dodatkowo chronieni za pomocą reguł WAF (Web Application Firewall).

Wprawdzie w standardzie dostepne są tylko w płatnych planach, to tak jak w przypadku kilku innych „poważniejszych podatności” odpowiednie reguły zostały automatycznie aktywowane również na domenach (stronach) korzystających z bezpłatnego planu.

(!) Zgłoś błąd na stronie

Spodobał Ci się artykuł? Zapisz się do naszego Newslettera - ZERO SPAMu, same konkrety, oraz dostęp do dodatkowych materiałów przeznaczonych dla subskrybentów!

Na podany adres e-mail otrzymasz od nas wiadomość e-mail, w której znajdziesz link do potwierdzenia subskrypcji naszego Newslettera. Dzięki temu mamy pewność, że nikt nie dodał Twojego adresu przez przypadek. Jeśli wiadomość nie przyjdzie w ciągu najbliższej godziny (zazwyczaj jest to maksymalnie kilka minut) sprawdź folder SPAM.

Patryk

CEO Webinsider.pl, a do tego CTO, CIO, CFO, CMO, CSO, COO i CRO ;-)
Pasjonat nowych technologii - od sprzętu po oprogramowanie, od serwerów po smartfony i rozwiązania IoT. Potencjalnie kiepski bloger, bo nie robi zdjęć "talerza" zanim zacznie jeść.

Dumny przyjaciel swoich psów :-)