XSS-уязвимость в Jetpack и Twenty Fifteen, а также некоторые другие баги были исправлены в WordPress 4.2.2
Genericons поставляется вместе с файлом example.html, который уязвим для атаки на уровне DOM. Open Web Application Security Project описывает такие атаки следующим образом:
«Основанные на DOM XSS-атаки (которые также называются type-0 XSS) – это атаки, которые меняют среду DOM в браузере жертвы при помощи специального клиентского скрипта, в результате чего код на стороне клиента выполняется неожиданным образом. Сама страница (HTTP-ответ) не меняется, однако клиентский код, содержащийся на странице, выполняется несколько иначе в результате вредоносных модификаций среды DOM»
Вредоносный код в таких атаках выполняется непосредственно в браузере пользователя. Даже файрвол Sucuri не способен блокировать атаку, поскольку он не может ее заметить. Однако компания справилась с данной уязвимостью.
Sucuri обратились ко многим хостинг-провайдерам с целью идентифицировать и удалить файл example.html с их серверов. Если вы используете следующие веб-хостинги, вам не нужно ни о чем беспокоиться, поскольку все уже было сделано:
- GoDaddy
- HostPapa
- DreamHost
- ClickHost
- InMotion
- WPEngine
- Pagely
- Pressable
- Websynthesis
- Site5
- SiteGround
Согласно Sucuri, файл example.html использовался для отладки и тестирования, однако по ошибке был оставлен в каталоге после того, как проект был упакован для рабочих сайтов. Такое незначительное упущение привело к тому, что миллионы сайтов оказались в опасности, поскольку тема Twenty Fifteen является дефолтной.
Вы должны обновить Twenty Fifteen и Jetpack вне зависимости от того, какой веб-хостинг вы используете. Вы должны также оставаться бдительными и тщательно следить за обновлениями плагинов и тем. Если возможно, вручную удалите example.html из вашего каталога Genericons.
Версия WordPress 4.2.2 исправляет эту уязвимость, а также некоторые другие баги.
Источник: wptavern.com