The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Критические уязвимости в WordPress-плагинах, имеющих более 400 тысяч установок

18.01.2020 12:26

В трех популярных плагинах для системы управления web-контентом WordPress, насчитывающих более 400 тысяч установок, выявлены критические уязвимости:

  • Уязвимость в плагине InfiniteWP Client, имеющем более 300 тысяч активных установок, позволяет подключиться без прохождения аутентификации в качестве администратора сайта. Так как плагин предназначен для унификации управления несколькими сайтами на сервере, атакующий может получить контроль сразу за всеми сайтами, обслуживаемыми с использованием InfiniteWP Client. Для атаки достаточно знать логин пользователя, имеющего права администратора, после чего через отправку специально оформленного POST-запроса (указав параметр "add_site" или "readd_site") можно войти в интерфейс управления с правами данного пользователя. Уязвимость вызвана ошибкой в реализации функции автоматического входа. Проблема устранена в выпуске InfiniteWP Client 1.9.4.5.
  • Две уязвимости в плагине WP Database Reset, который используется примерно на 80 тысячах сайтов. Первая уязвимость позволяет без прохождения аутентификации сбросить в начальное состояние содержимое любых таблиц в БД (привести к состоянию свежей установки WordPress, удалив связанные с сайтом данные). Проблема вызвана отсутствием проверки на наличие полномочий при выполнении функции сброса.

    Вторая уязвимость в WP Database Reset требует наличия аутентифицированного доступа (достаточно наличия учётной записи с минимальными правами подписчика) и позволяет получить привилегии администратора сайта (можно добиться удаления всех пользователей из таблицы wp_users, после чего текущий оставшийся пользователь будет обрабатываться как администратор). Проблемы устранены в выпуске 3.15.

  • Уязвимость в плагине WP Time Capsule, имеющем более 20 тысяч установок, позволяет подключиться с правами администратора без прохождения аутентификации. Для осуществления атаки достаточно добавить в POST-запрос строку IWP_JSON_PREFIX, при наличии которой без каких-либо проверок вызывается функция wptc_login_as_admin. Проблема устранена в выпуске 1.21.16.


  1. Главная ссылка к новости (https://arstechnica.com/inform...)
  2. OpenNews: Релиз системы управления web-контентом WordPress 5.3
  3. OpenNews: В WordPress 5.1.1 устранена уязвимость, позволяющая получить контроль над сайтом
  4. OpenNews: Критическая уязвимость в WordPress-плагине "Simple Social Buttons"
  5. OpenNews: Зафиксирована массовая атака на сайты с необновлённым движком WordPress
  6. OpenNews: В плагине Captcha к WordPress, имеющем 300 тысяч установок, выявлен бэкдор
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: wordpress
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (55) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 12:44, 18/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    первый раз про них слышу. похоже, мне повезло на этот раз.
     
     
  • 2.33, Аноним (33), 20:16, 18/01/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Полон опасностей вордпрессомирок.
     
     
  • 3.45, XXX (??), 05:30, 19/01/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    закрываешь инет для виртуалки с вордпрессом, изменения на запись в ФС - только через FTP, ставишь запрет на исполнение файлов в директории с uploads. Всё. Пусть пробуют "ломать".
     
     
  • 4.47, gogo (?), 14:49, 19/01/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    да легко. например, если ломануть админа, можно отредактироват статьи, напихав в них скрытых ссылок на вродоносные сайты. спам. из upload можно инклюдом запускать свой код, например ДОС-ботов.
    в общем, фантазия безгранична. в отличте от вашего метода "защиты изоляциией"
     
     
  • 5.56, XXX (??), 03:49, 24/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > да легко. например, если ломануть админа, можно отредактироват статьи, напихав в них
    > скрытых ссылок на вродоносные сайты. спам. из upload можно инклюдом запускать
    > свой код, например ДОС-ботов.
    > в общем, фантазия безгранична. в отличте от вашего метода "защиты изоляциией"

    @gogo,
    > инклюдом запускать свой код, например ДОС-ботов

    как будет dos-bot отсылать запросы если интернет у него отключен?
    разрешены только запросы на вход и на ответы через conntrack. (принцип stateful firewall)
    > да легко. например, если ломануть админа

    /wp-admin/, wp-login.php закрывается по IP адресу.
    >из upload можно инклюдом

    Про инклюд понял, здесь согласен. Но разве первые два метода не нивелируют любую пользу от взлома, разве что контент можно отдавать со скрытыми ссылками

     
     
  • 6.57, XXX (??), 03:56, 24/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    @gogo
    > из upload можно инклюдом запускать свой код, например ДОС-ботов.

    а что будет инклюдом запускаться ? если человек не может ничего записать в ФС (т.к. всё по ФТП)??
    а инклюд извне по http запрещён?

     
  • 4.48, пох. (?), 07:13, 20/01/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > закрываешь инет для виртуалки с вордпрессом, изменения на запись в ФС - только через FTP

    cms на этом перестает работать, обновление поставить нельзя, в том числе дырявого плагина, и первая же дырка с include решает проблему исполняемых uploads.
    Не говоря уже про sql injections, которые тоже никуда не деваются.

    Но твой бложег в безопасносте, Васян!

     

  • 1.2, Тико (?), 12:46, 18/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    ", имеющем более 20 тысяч установок позволяет подключиться с правами администратора без прохождения аутентификации." подключиться к матрице)?
     
  • 1.3, Аноним (3), 12:48, 18/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Ну так разве ж высококвалифицированный программист станет заниматься написанием плагинов для WordPress?
     
     
  • 2.4, N (?), 13:25, 18/01/2020 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Да
     
  • 2.8, Аноним (8), 14:23, 18/01/2020 [^] [^^] [^^^] [ответить]  
  • –9 +/
    Разе любой человек в здравом уме станет использовать Вордпресс?  О количество установок лишь показывает процент душевнобольных.
     
     
  • 3.12, Антон (??), 15:27, 18/01/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    А что вы предлагаете ставить для небольшого быстронастраиваемого сайта?
     
     
  • 4.18, дохтурЛол (?), 16:13, 18/01/2020 [^] [^^] [^^^] [ответить]  
  • +6 +/
    ничего, эти тупоголовые болтуны умеют только болтать фразами, которые бездумно переняли от других.

    вордпресс - отличная открытая платформа, одна из лучших.
    плагины к нему - нельзя как-то общо оценить, потому что качество каждого отдельного из них надо рассматривать отдельно.
    есть куча прекарсных бесплатных плагинов под вордпресс с качественным кодом, есть ещё большая куча бесплатных плагинов с некачественным кодом, а есть ещё куча платных плагинов, но про них не могу ничего сказать, т.к. ни разу не пользовался.

    популярность софта - это очень важный показатель, который очень высоко влияет на качество софта, особенно актуально для софта с открытым кодом и для категорий софта, где есть альтернативы.

    альтенатив вордпрессу немного, в общем-то ~4:
    1. opencart - сильно менее популярен чем wp;
    2. битрикс - не знаю особо про него, но используется в основном на территории бывшего СССР;
    3. magenta - это уже не подходит малому бизнесу, это уже сразу для среднего и крупного;
    4. кастомные сайты, т.е. писать всё своё, с нуля - дорого, долго, недоступно для малого бизнеса.

     
     
  • 5.37, Антон (??), 21:22, 18/01/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    так opencart и magenta это магазины, а битрикс это кучка говнокода на понтах чтобы впаривать его богатым заказчикам. Хлеб быдловебстудий.
    Альтернатив вордпрессу в вашем списке нет, хотя они безусловно существуют в огромном количестве. october cms всякие.

    Но популярность - да, это решает.

     
  • 5.39, Аноним (39), 23:34, 18/01/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    О, так ты тот самый тяпляпыч и в продакшн. Приятно познакомится.
     
  • 4.19, Аноним (19), 16:46, 18/01/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Хостинг на Тильде же! Трясущейся от страха, готовой закрыть проекты за секунду, зато не вордпресс!
     
  • 4.22, Сейд (ok), 17:23, 18/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    concrete5
     
     
  • 5.36, Антон (??), 21:20, 18/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    ок. запомню называние, если в жизни представится случай посмотрю.
     
     
  • 6.41, Bx_ (?), 23:53, 18/01/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Надо бы HR'ам нашим сказать, Антонов ни в коем случае не брать.
     
     
  • 7.55, Антон (??), 16:03, 21/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Я не специализируюсь на cms на пыхе (боже упоси), просто хочу быть в курсе как мимопроходил.
     
  • 4.23, Аноним (23), 17:52, 18/01/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    static html. базовый набор тегов - их там максимум десяток будет - освоит любой, кто не пытается нажимать кнопку мыши в ответ на "press any key".
     
     
  • 5.35, Антон (??), 21:19, 18/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    это все здорово, а потом нужно отдать это пользователю для редактирования.
    Я не зарабатываю этим на жизнь, но пару-тройку-десяток раз делал сайты для знакомых, на вордпрессе было довольно быстро, единственное что лень было изучать доку чтобы выбросить из шаблона лишнее.
    Раньше cmsmadesimple использовал, но оно сдохло.
     
  • 3.16, Аноним (16), 16:06, 18/01/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    https://automattic.com/

    вот виновник этого - многомилионная коммерческая компания которая развивает ворпресс и продает хостинг на wordpress.com

     
  • 2.24, user90 (?), 18:23, 18/01/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    "высококвалифицированный PHP-программист" ;) Такие ваще где-то есть? Это возможно?
     
     
  • 3.28, KonstantinB (??), 19:10, 18/01/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А что помешает высококвалифицированному программисту писать на PHP при необходимости? Другое дело, что это будет не PHP-программист, а просто программист.
     
     
  • 4.42, Bx_ (?), 00:12, 19/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Хех, я даже одного такого знаю. Я когда увидел в кроне php, мягко говоря удивился, ан нет - "мне так удобно". И, ведь, б!"№;%:, я бы лучше не сделал.
     
  • 4.54, Урри (?), 16:20, 20/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Наверное то же самое, что высококвалифицированному комбайнеру использовать газонокосилку?
     
  • 3.34, commiethebeastie (ok), 20:16, 18/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    facebook?
     

  • 1.5, Аноним (5), 13:49, 18/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Последняя вообще зашквар, и PHP тут не причём.
     
     
  • 2.6, анон (?), 14:17, 18/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    в последнем - это не баг, это - фича.
     
     
  • 3.11, Аноним (11), 15:03, 18/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    есть слово "антифича".
     
     
  • 4.17, A.Stahl (ok), 16:11, 18/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А "недопереконтрантифича" слово есть?
     
     
  • 5.20, Аноним (11), 16:47, 18/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Нет. Антифича и так несёт достаточно негативный оттенок. Негативнееттолько прямо сказать "бекдор".
     
  • 3.27, Урри (?), 18:57, 18/01/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Классический бекдор
     

  • 1.7, Аноним (8), 14:21, 18/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Рили? Вот это неожиданность так неожиданность.
     
     
  • 2.26, Урри (?), 18:56, 18/01/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Никогда такого не было, скажи?
     
     
  • 3.31, анан (?), 19:26, 18/01/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    и вот опять
     

  • 1.9, Аноним (9), 14:25, 18/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Дали им DjangoCMS - пользуйся! Не хочу, хочу pewemo.
     
     
  • 2.14, Аноним (16), 16:02, 18/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    там есть конструктор сайтов или крутые темы? нет - ну закопайте тогда

    я для безопасности придумали JAM stack, который уже давно используют (https://jamstack.wtf/)
    в том числе и для wordpress headless

     
     
  • 3.44, пох. (?), 01:42, 19/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    нет, там есть нескучный апи, который ты можешь изучать следующие пол-жизни.

    Ну или готовые поделки НА этом фреймворке - теперь еще пол-жизни ты можешь изучать отдельный апи самой поделки.

     
  • 2.29, KonstantinB (??), 19:18, 18/01/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Вордпресс хоть и ужасен внутри, но по набору плагинов ничего близкого нет.

    Проще поставить вордпресс и дать его копирайтерам с сеошниками, чем заниматься написанием всякой контентно-сеошной ерунды вместо занятия важными вещами.

    Вопрос безопасности решается, на самом деле, довольно просто: для пейсателей поднимается контейнер, который напрямую не торчит в интернет, а в продакшен идет readonly-копия контейнера, который изолирован от остальных частей проекта и ограничен в правах по самое мяу. Синхронизируется по крону или кнопочке.

     
     
  • 3.38, Антон (??), 23:14, 18/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    слова не мальчика, но мужа
     
     
  • 4.43, Bx_ (?), 00:22, 19/01/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ну-ну. Реализацию можно увидеть? Что-то я Антонов ...
     

  • 1.10, nelson (??), 14:34, 18/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    если уж что - то и писать на пыхе, то, хотя бы, на основе компонентов какого-нибудь Symfony, но WP - это вообще за гранью добра и зла
     
     
  • 2.15, Аноним (16), 16:03, 18/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    пиши на том в чем разбираешся на здоровье
     

  • 1.13, Аноним (16), 15:58, 18/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    WP2Static -> CDN или хостинг статических файлов - и не волнуют меня ваши уязвимости, ломайте html сколько влезет
     
     
  • 2.21, другие васяны (?), 16:57, 18/01/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    жаль что твои васян-сайты тоже никого не волнуют, даже роботы не заходят.
     
     
  • 3.40, Аноним (39), 23:34, 18/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    400к васян сайтов тоже никому не нужны кроме ботнетов.
     

  • 1.25, Я (??), 18:54, 18/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вот и глянем как боты будут сканить нмших клиентов на эти дыры.
    Потом, если будет что, отпишусь.
     
  • 1.30, Аноним (-), 19:23, 18/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Походу дыры в плагинах вордпресса - мировая константа, типа скорости света, чтоли. Годы шли а дыры в плагинах вормпресса - вот они.
     
  • 1.32, BlackRot (ok), 19:33, 18/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Впервые слышу о таких планинах.
    А ВордПресс рулит! 😋
     
  • 1.46, iCat (ok), 09:38, 19/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    1. "Говнокод" можно состряпать любым способом. Даже напрямую бинарный гавнокод.
    2. Ошибки в любом коде возможны независимо от ЯП и опыта программиста.
    3. Количество обнаруженных ошибок почти никогда не равно количеству ошибок вообще. И зависит это в большей степени от распространённости исходников, чем от ЯП и опыта программистов.
     
     
  • 2.49, пох. (?), 07:16, 20/01/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    какая, говорите, версия TeX нынче последняя?

    Не зависит от опыта, говорите?

     
     
  • 3.50, iCat (ok), 10:34, 20/01/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > какая, говорите, версия TeX нынче последняя?
    > Не зависит от опыта, говорите?

    Ты готов утверждать о том, что в TeX нет ошибок?

     
     
  • 4.52, пох. (?), 14:31, 20/01/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    поинтересуйтесь на досуге, как устроена у него нумерация версий (у one-true-tex, а не адаптированных для бубунточки форков, разумеется). А потом, когда узнаете кое-что новое для себя, подумайте еще разок, что я пытался до вас донести.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру