В WordPress устранена опасная уязвимость, позволявшая осуществлять SQL-инъекции

ИБ-специалист Энтони Феррара (Anthony Ferrara) рассказал в своем блоге, как на протяжении нескольких месяцев он пытался заставить разработчиков WordPress исправить серьезную уязвимость в составе CMS, а в итоге даже был вынужден пригрозить публичным раскрытием всей информации о проблеме и публикацией proof-of-concept эксплоита.

Феррара пишет, что впервые уязвимость перед SQL-инъекциями в WordPress попытались исправить еще прошлом месяце, в релизе 4.8.2. Исследователь объясняет, что не он исходно обнаружил проблему, сопряженную с работой $wpdb->prepare(), которая может приводить к появлению неожиданных и небезопасны запросов, в итоге допускающих SQL-инъекции.

К сожалению, попытка устранить баг в 4.8.2, привела лишь к тому, что на множестве сайтов, работающих под управлением WordPress, перестала нормально работать метрика. К тому же исправление «испортило» более 1,2 млн строк стороннего кода. Сама уязвимость при этом по-прежнему оставалась актуальной.

Обнаружив проблемы с патчем, Феррара обратился к разработчикам CMS, но исследователю потребовалось приложить немало усилий, чтобы убедить их  в своей правоте.

«Я потратил пять недель, чтобы убедить хотя бы кого-нибудь, что это настоящая уязвимость. После этого мне пришлось угрожать им публично раскрыть данные о проблеме, чтобы команда разработчиков сосредоточила свое внимание на уязвимости, — пишет Феррара. — На протяжении шести недель я испытывал только разочарование. Теперь у меня появилась робкая надежда».

Теперь, когда вышел обновленный WordPress 4.8.3, оказалось, официальный бюллетень безопасности гласит, что уязвимость не затрагивала ядро CMS, но была связана исключительно с работой различных плагинов и тем, которые провоцировали появление бага. Феррара уже заявил, что это неправда и сообщил, что проблема крылась именно в ядре WordPress, а предоставленный разработчикам proof-of-concept эксплоит работал именно против ядра, хотя и требовал при этом привилегий редактора.

Как бы то ни было, версия 4.8.3 окончательно устранила опасную проблему, поэтому всем администраторам настоятельно рекомендуется обновиться как можно скорее.

Мария Нефёдова: Блондинка, гик, книжный червь, синефил. Редактор ленты новостей; иногда автор Сцены.

Комментарии (6)

  • В который раз уже WordPress радует нас своими дырами.

  • в вордпресс надо быть очень осторожным с плагинами (знаю, статья про ядро, но хочу предупредить сообщество). Особенно стрёмные - малоизвестные плагины, авторы которых не удосуживаются проверками на безопасность.

    • Я больше скажу: нужно вообще с программным обеспечением быть осторожным. Огромное их количество пытается проявить нежелательную активность.

  • Не понимаю всяких безопасников. "Я пять недель (хнык) добивался ответа, меня ни во что не ставили (плачу)"
    Раз предупредил, два, и выложил информацию. Без рабочего эксплоита конечно. Только не говорите про верность долгу...

Похожие материалы