O tym jak ważne jest aktualizowanie każdego oprogramowania pisałem już nieraz. O tym, jak ważne jest aktualizowanie oprogramowania wystawionego na zewnątrz, gdzie – np. przez internet – dostępne jest dla każdego zapewne pisałem jeszcze więcej. Dlatego zakładam, że 2 relatywnie nowe błędy znalezione w WordPressie nie są dla Waszych stron żadnym zagrożenie, a przytaczam je tu tylko jako ciekawostkę… ;-)

Zdalne wykonanie kodu w WordPressie

Jakiś czas temu pisałem o błędzie w skrypcie PHPMailer, który znajduje się również w WordPressie. Błąd w skrypcie został załatany (4.7), i można by o sprawie zapomnieć, zwłaszcza że jego wykorzystanie nie było takie proste i wymagało kilku „zbiegów okoliczności”.

Niestety dla tych, co z jakichś powodów aktualizacji nie wykonują okazało się, że Dawid Golunski znalazł sposób na zdalne wykonanie kodu wykorzystując niezałataną bibliotekę PHPMailer, bez potrzeby liczenia na splot niefortunnych przypadków (CVE-2016-10033).

Nie znaczy to, że od razu każdy niezaktualizowany WordPress (w wersji 4.6 lub starszej) jest podatny, ale na pewno znacznie wzrosły szanse na to, że ktoś takiego WordPressa przejmie do swoich – zapewne niecnych – celów.


Próba resetu hasła dowolnego użytkownika w WordPressie

Za odkryciem drugiego błędu ponownie stoi Dawid Golunski, który opublikował teoretyczny sposób na zresetowania hasła dowolnego użytkownika (CVE-2017-8295) WordPressa (dotyczy również wersji 4.7.4). Brzmi poważnie, ale tym razem atakującemu musi sprzyjać nie tylko szczęście, ale i nierozważny użytkownik, którego konto zostało obrane za cel.

Atak polega na tym, że w pewnych okolicznościach możemy wymusić przesłanie linku z resetem hasła do/dla wybranego użytkownika, podstawiając swój/wybrany adres e-mail w miejsce adresu nadawcy ustawionego w WordPressie. Tak więc atakujący musi znać nazwę użytkownika (dlatego warto mieć inną nazwę do logowania, inną, która wyświetla się przy wpisach/komentarzach) oraz nakłonić ofiarę do przesłania – np. w formie odpowiedzi – otrzymanej wiadomości z linkiem do resetu hasła (zamiast do administratora strony, taka wiadomość trafi do atakującego, który podstawił swój adres e-mail w wiadomości), co niekoniecznie musi być takie proste…

Aktualizacja ma pojawić się niebawem, do tego czasu – o ile konfiguracja Waszego WordPressa i/lub webserwera sama z siebie nie uniemożliwia tego typu ataków – możecie w pliku functions.php dodać kilka linijek, które być może zabezpieczą Waszą stronę przed opisywaną modyfikacją nadawcy wiadomości:

add_filter( 'wp_mail_from', function( $email ) {
 return '[email protected]';
});

Oczywiście zamiast „[email protected]” wstawcie adres e-mail, którego WordPress ma używać jako adres nadawcy wiadomości e-mail.

(!) Zgłoś błąd na stronie
Potrzebujesz profesjonalnej pomocy? Skontaktuj się z nami!

Spodobał Ci się artykuł? Zapisz się do naszego Newslettera - ZERO SPAMu, same konkrety, oraz dostęp do dodatkowych materiałów przeznaczonych dla subskrybentów!

Na podany adres e-mail otrzymasz od nas wiadomość e-mail, w której znajdziesz link do potwierdzenia subskrypcji naszego Newslettera. Dzięki temu mamy pewność, że nikt nie dodał Twojego adresu przez przypadek. Jeśli wiadomość nie przyjdzie w ciągu najbliższej godziny (zazwyczaj jest to maksymalnie kilka minut) sprawdź folder SPAM.

Patryk

CEO Webinsider.pl, a do tego CTO, CIO, CFO, CMO, CSO, COO i CRO ;-)
Pasjonat nowych technologii - od sprzętu po oprogramowanie, od serwerów po smartfony i rozwiązania IoT. Potencjalnie kiepski bloger, bo nie robi zdjęć "talerza" zanim zacznie jeść.

Dumny przyjaciel swoich psów :-)
Envato Elements - pobierasz co chcesz, ile chcesz