XSS и Brute Force уязвимости в WordPress

2012-04-09T00:00:00
ID SECURITYVULNS:DOC:27917
Type securityvulns
Reporter Securityvulns
Modified 2012-04-09T00:00:00

Description

Здравствуйте 3APA3A!

Сообщаю вам о Cross-Site Scripting та Brute Force уязвимостях в WordPress.

XSS (WASC-08):

В 2007 году я писал об редиректорах (http://websecurity.com.ua/1152/) в WordPress (http://websecurity.com.ua/1179/), для которых я выпустил патч в MustLive Security Pack v.1.0.5 (http://websecurity.com.ua/1209/), и этот патч также защищает от XSS. Тогда исследователи, которые нашли редиректоры, не исследовали их на XSS, поэтому я решил сделать это самостоятельно.

Через данные редиректоры возможны XSS атаки (через data URI):

http://site/wp-login.php?redirect_to=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B&action=logout

http://site/wp-pass.php?_wp_http_referer=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B

Разработчики исправили редиректоры в WP 2.3. Поэтому Redirector и XSS атаки возможны лишь в предыдущих версиях.

Brute Force (WASC-11):

http://site/wp-app.php

Уязвимы WordPress 2.3 - 3.3.1.

Начиная с версии WP 2.3 в движке появилась поддержка Atom Publishing Protocol. В данном функционале нет защиты от Brute Force атак (используется Basic Authentication). APP функционал по умолчанию отключён с версии 2.6, как и XML-RPC.

Разработчики WP отключили его вместе с XML-RPC (когда отключали последний), т.е. не мотивируя это как противодействие Brute Force, но это в том числе сработало как защита от Brute Force атак. И соответственно эта проблема не касается тех, кто использует WordPress начиная с версии 2.6 с настройками по умолчанию. А вот для тех, кому нужно использовать APP, те будут иметь Brute Force уязвимость, так как разработчики не сделали действенной защиты от неё.

Дополнительная информация о данных уязвимостях у меня на сайте: http://websecurity.com.ua/5734/

Best wishes & regards, MustLive Администратор сайта http://websecurity.com.ua