ИБ-специалист Энтони Феррара (Anthony Ferrara) рассказал в своем блоге, как на протяжении нескольких месяцев он пытался заставить разработчиков WordPress исправить серьезную уязвимость в составе CMS, а в итоге даже был вынужден пригрозить публичным раскрытием всей информации о проблеме и публикацией proof-of-concept эксплоита.
Феррара пишет, что впервые уязвимость перед SQL-инъекциями в WordPress попытались исправить еще прошлом месяце, в релизе 4.8.2. Исследователь объясняет, что не он исходно обнаружил проблему, сопряженную с работой $wpdb->prepare(), которая может приводить к появлению неожиданных и небезопасны запросов, в итоге допускающих SQL-инъекции.
К сожалению, попытка устранить баг в 4.8.2, привела лишь к тому, что на множестве сайтов, работающих под управлением WordPress, перестала нормально работать метрика. К тому же исправление «испортило» более 1,2 млн строк стороннего кода. Сама уязвимость при этом по-прежнему оставалась актуальной.
Обнаружив проблемы с патчем, Феррара обратился к разработчикам CMS, но исследователю потребовалось приложить немало усилий, чтобы убедить их в своей правоте.
«Я потратил пять недель, чтобы убедить хотя бы кого-нибудь, что это настоящая уязвимость. После этого мне пришлось угрожать им публично раскрыть данные о проблеме, чтобы команда разработчиков сосредоточила свое внимание на уязвимости, — пишет Феррара. — На протяжении шести недель я испытывал только разочарование. Теперь у меня появилась робкая надежда».
Теперь, когда вышел обновленный WordPress 4.8.3, оказалось, официальный бюллетень безопасности гласит, что уязвимость не затрагивала ядро CMS, но была связана исключительно с работой различных плагинов и тем, которые провоцировали появление бага. Феррара уже заявил, что это неправда и сообщил, что проблема крылась именно в ядре WordPress, а предоставленный разработчикам proof-of-concept эксплоит работал именно против ядра, хотя и требовал при этом привилегий редактора.
Как бы то ни было, версия 4.8.3 окончательно устранила опасную проблему, поэтому всем администраторам настоятельно рекомендуется обновиться как можно скорее.