Издадена е препоръка относно уязвимост в WordPress с висока степен на опасност, която дава възможност на нападателите да инжектират произволни кратки кодове в сайтове, използващи плъгина WordPress Popular Posts. Нападателите не се нуждаят от потребителски акаунт, за да извършат атаката.
Плъгинът WordPress Popular Posts има над 100 000 активни инсталации и позволява на сайтовете да показват най-популярните публикации в рамките на даден период от време. Преведен е на шестнадесет различни езика, за да се разшири използването му по целия свят. Той е снабден с функции за кеширане, които подобряват производителността, и с административна конзола, която позволява на администраторите на сайтове да преглеждат статистиката за популярността.
Уязвимост в използването на кратки кодове в WordPress
Кратките кодове са функция, която позволява на потребителите да вмъкват функционалности в страницата, като вмъкват предварително определен фрагмент в скоби, който автоматично вмъква скрипт, изпълняващ дадена функция, като например добавяне на форма за контакти, който изглежда по следния начин: [add_contact_form].
WordPress постепенно се отказва от използването на кратки кодове в полза на блокове със специфични функционалности. Официалният сайт на разработчиците на WordPress насърчава разработчиците на плъгини и теми да преустановят използването на кратки кодове в полза на специални блокове, като основната причина е, че за потребителя е по-лесно да избере и вмъкне блок, вместо да конфигурира кратък код в плъгина, след което ръчно да вмъкне краткия код в страницата.
WordPress съветва:
„Бихме препоръчали на хората в крайна сметка да надградят своите шорткъти, за да бъдат блокове.“
Уязвимостта, открита в плъгина WordPress Popular Posts, се дължи на реализацията на функционалността shortcode, по-специално на частта, наречена do_shortcode(), която е функция на WordPress за обработка и изпълнение на shortcode, изискваща обработка на входните данни и други стандартни практики за сигурност на плъгини и теми на WordPress.
Според Wordfence:
„Приставката за WordPress Popular Posts за WordPress е уязвима към произволно изпълнение на кратък код във всички версии до 7.1.0 включително. Това се дължи на това, че софтуерът позволява на потребителите да изпълняват действие, което не валидира правилно стойността, преди да изпълни do_shortcode. Това дава възможност на неупълномощени нападатели да изпълняват произволни кратки кодове.“
Тази част за „валидиране на стойност“ обикновено означава проверка, за да се гарантира, че това, което потребителят въвежда („стойност“), като например съдържанието на кратък код, се валидира, за да се потвърди, че е безопасно и отговаря на очакваните данни, преди да бъде предадено за използване от WordPress сайта.
Официален списък с промени в плъгина
Списъкът с промените е документацията за това какво е актуализирано, което дава възможност на потребителите на плъгина да разберат какво е актуализирано и да вземат решение дали да актуализират инсталацията си или не, като в случая прозрачността е важна.
Плъгинът WordPress Popular Posts е прозрачен в документацията си за актуализацията.
В списъка с промените на плъгина се препоръчва:
„Поправен е проблем със сигурността, който позволява непреднамерено произволно изпълнение на краткия код“
Препоръчителни действия
Всички версии на плъгина WordPress Popular Posts до версия 7.1.0 включително са уязвими. Препоръчваме ви да актуализирате до най-новата версия на плъгина – 7.2.0.
