En fransk hacker har lige fundet et sikkerhedshul i blogsystemet WordPress, der gør at man kan skade brugere og blog. De versioner af Wordpress, der er berørte, er version 2.1.3 og tidligere, 2.0.10 og tidligere samt 2.2 (p.t. nyeste version) og tidligere. Der er tale om et XSS-hul.
WordPress er et populært blogsystem skrevet med PHP. I Wordpress kan både blogejeren (administratoren) og brugere poste kommentarer efter artikler, som administratoren har skrevet. Brugere kan ikke indsætte JavaScript i deres kommentarer, men det kan administratoren gøre både i sine indlæg og i sine kommentarer.
Problemet er, at WordPress ikke ordentligt tjekker disse data og, især hvor de kommer fra. Det er derfor nemt at få en administrator til at besøge en hjemmeside, som indeholder farlig JavaScript, der ville blive overført til WordPress.
Imens du venter på en patch, skal du undlade at surfe på hjemmesider, du ikke kender godt, når du er forbundet til din admin-konto.
onsdag den 30. maj 2007
Nyt sikkerhedsproblem for WordPress
Abonner på:
Kommentarer til indlægget (Atom)
2 kommentarer:
Mange tak for oplysningen, og den relativt nemme kur. Det er dejligt I sådan holder os alle opdateret. Thumbs up her fra lille, men dejligt varme Dannevang. :-)
Der er blevet spurgt om detaljer vedrørende det nylige opdagede Wordpress-hul.
Og nej, det er ikke det hul, der er blevet lukket for et godt stykke tid siden, der er tale om.
Hvis man ønsker at teste det selv, her er hvordan det gøres:
Administratoren kan sætte et JavaScript i sine kommentarer. Prøv fx det her:
I en kommentar, som du laver som administrator, indsætter du kun følgende:
<script>alert("Sikkerhedshul")</script>
Dette er et enkelt og harmløst script, som blot vil lave et popupvindue, hver gang nogen ser artiklen. En pirat vil naturligvis bruge noget, som er mere muskuløst.
Kun administratoren kan indsætte JavaScript i sine kommentarer, og problemet er så, at WordPress ikke tjekker de data, der bliver sendt videre.
Vi kan lave en side, som vil sende bestemte data til den side, vi sigter efter, ved at bruge methoden POST. Her er et eksempel:
www.hackademi.com/wphul.txt
Når administratoren af bloggen, som er på www.offer.com vil besøge denne side, vil han så samtidigt poste en kommentar, som indeholder pågældende JavaScript, til det sjette indlæg på bloggen.
I dette tilfælde er koden, som bliver postet, ikke farligt, men man kan lave meget farligere ting, fx få fat i hele databasen.
Midlertidig løsning: Surf ikke på sider, du ikke kender, imens du er logget på som admin.
Send en kommentar