Angara Professional Assistance | XSS-атака, доступная подписчикам

XSS-атака, доступная подписчикам

В CMS WordPress обнаружена опасная уязвимость в плагине SEOPress. Плагин предназначен для проведения SEO-мероприятий, то есть для управления структурой и контентом веб-сайта с целью сделать его доступнее и понятнее для поисковых систем (Google, Yandex и др.). 

Одной из функций, реализуемых плагином, является добавление заголовка (title) и описания (description) SEO к постам на странице. Это возможно сделать при редактировании публикаций или через нововведенный эндпоинт REST-API. Именно в данной функции и была обнаружена уязвимость, которой присвоили идентификатор CVE-2021-34641. Найденная ошибка безопасности позволяет любому аутентифицированному пользователю, в том числе подписчику, обновлять title и description SEO для любого поста. При этом особенности обработки сохраненных параметров сообщения позволяют загружать в код веб-страницы вредоносные веб-скрипты, такие как JavaScript, и исполнять их каждый раз, когда пользователь обращается к странице со всеми размещенными публикациями.

Обнаруженная уязвимость представляет собой уязвимость межсайтового скриптинга (XSS) и может привести к множеству злонамеренных действий, таких как создание новой административной учетной записи, внедрение веб-оболочки, подстановка перенаправления на опасные сайты и т.д., что предоставляет злоумышленнику возможности для захвата сайта WordPress.

Согласно статистике скачиваний, в настоящий момент плагин SEOPress используется более чем на 100 000 сайтах. Настоятельно рекомендуется как можно скорее установить обновленную версию 5.0.4 плагина с исправленной уязвимостью.

«Статистический анализ, проведенный компанией iTrack в марте 2021 года, подтверждает, что большая часть сайтов из доменной зоны .RU используют движок WordPress для управления контентом. Хотелось бы, чтобы данный факт и незавидная частота обнаружения уязвимостей в плагинах популярнейшего CMS спровоцировала разработчиков дополнительного ПО для WordPress использовать методики безопасного программирования или как минимум более внимательно относиться к своему коду, – отмечает Тимур Кузнецов, директор Инженерного центра Angara Professional Assistance. – Владельцам веб-ресурсов, чтобы не допустить компрометацию обрабатываемой на веб-серверах конфиденциальной информации, а также предотвратить другие возможные негативные последствия от действий злоумышленников, рекомендуется использовать технологии защиты веб-приложений с помощью WAF».

Для предотвращения веб-атак на активы организации, доступные в сети Интернет, компания Angara Professional Assistance предлагает услугу «Защита web-приложений», которая включает:

  • сигнатурный и поведенческий анализ трафика, включая защиту от атак полным перебором (Brute-force);

  • сканирование и выявление уязвимостей web-приложений из открытых сетей и виртуальный патчинг;

  • рекомендации по устранению найденных уязвимостей, полная отчетность по работе сервиса.

Подробную информацию о сервисе «Защита web-приложений» можно найти на нашем сайте в разделе «Сервисы по модели Managed Security Services (MSS)». Получить другую информацию и задать дополнительные вопросы можно, обратившись к менеджерам компании Angara Professional Assistance по e-mail info@angarapro.ru или телефону 8 (495) 269-26-06.