ИБ-специалист Энтони Феррара (Anthony Ferrara) рассказал в своем блоге, как на протяжении нескольких месяцев он пытался заставить разработчиков WordPress исправить серьезную уязвимость в составе CMS, а в итоге даже был вынужден пригрозить публичным раскрытием всей информации о проблеме и публикацией proof-of-concept эксплоита.     

Феррара пишет, что впервые уязвимость перед SQL-инъекциями в WordPress попытались исправить еще прошлом месяце, в релизе 4.8.2. Исследователь объясняет, что не он исходно обнаружил проблему, сопряженную с работой $wpdb->prepare(), которая может приводить к появлению неожиданных и небезопасны запросов, в итоге допускающих SQL-инъекции.

К сожалению, попытка устранить баг в 4.8.2, привела лишь к тому, что на множестве сайтов, работающих под управлением WordPress, перестала нормально работать метрика. К тому же исправление «испортило» более 1,2 млн строк стороннего кода. Сама уязвимость при этом по-прежнему оставалась актуальной.

Обнаружив проблемы с патчем, Феррара обратился к разработчикам CMS, но исследователю потребовалось приложить немало усилий, чтобы убедить их  в своей правоте.

«Я потратил пять недель, чтобы убедить хотя бы кого-нибудь, что это настоящая уязвимость. После этого мне пришлось угрожать им публично раскрыть данные о проблеме, чтобы команда разработчиков сосредоточила свое внимание на уязвимости, — пишет Феррара. — На протяжении шести недель я испытывал только разочарование. Теперь у меня появилась робкая надежда».

Теперь, когда вышел обновленный WordPress 4.8.3, оказалось, официальный бюллетень безопасности гласит, что уязвимость не затрагивала ядро CMS, но была связана исключительно с работой различных плагинов и тем, которые провоцировали появление бага. Феррара уже заявил, что это неправда и сообщил, что проблема крылась именно в ядре WordPress, а предоставленный разработчикам proof-of-concept эксплоит работал именно против ядра, хотя и требовал при этом привилегий редактора.

Как бы то ни было, версия 4.8.3 окончательно устранила опасную проблему, поэтому всем администраторам настоятельно рекомендуется обновиться как можно скорее.



6 комментариев

  1. Il

    02.11.2017 at 21:55

    В который раз уже WordPress радует нас своими дырами.

  2. LorDo

    03.11.2017 at 02:36

    Эксплоит то где?

  3. growpenny

    03.11.2017 at 12:30

    в вордпресс надо быть очень осторожным с плагинами (знаю, статья про ядро, но хочу предупредить сообщество). Особенно стрёмные — малоизвестные плагины, авторы которых не удосуживаются проверками на безопасность.

    • fabien

      03.11.2017 at 14:46

      Я больше скажу: нужно вообще с программным обеспечением быть осторожным. Огромное их количество пытается проявить нежелательную активность.

  4. Kadist

    09.11.2017 at 10:02

    Не понимаю всяких безопасников. «Я пять недель (хнык) добивался ответа, меня ни во что не ставили (плачу)»
    Раз предупредил, два, и выложил информацию. Без рабочего эксплоита конечно. Только не говорите про верность долгу…

  5. john_

    16.11.2017 at 14:45

    Тоже дырявое решето

Оставить мнение