WordPress 5.1.1 corrige uma vulnerabilidade de XSS que levava a aquisições no site

A equipe do WordPress corrigiu uma falha de software introduzida na versão 5.1 que poderia permitir que invasores em potencial realizassem ataques de script entre sites (XSS) com a ajuda de comentários criados com intuito malicioso em sites do WordPress com o módulo de comentários habilitado.

A vulnerabilidade corrigida no WordPress 5.1.1 tornaria possível que os agentes mal-intencionados invadissem os sites usando uma vulnerabilidade de falsificação de solicitação entre sites (CSRF), levando um administrador conectado a visitar um site mal-intencionado contendo uma carga útil XSS.

Em seguida, a carga útil do XSS é carregada e executada com a ajuda de um iFrame oculto, permitindo que invasores não autenticados executem código arbitrário de HTML e script, potencialmente assumindo os sites vulneráveis ​​do WordPress que foram atacados. 

“O CSRF explora o abuso de várias falhas lógicas e erros de sanitização que, quando combinados, levam à Execução Remota de Código e a uma aquisição total do site”, de acordo com a RIPS Technologies.

A equipe do WordPress agradeceu a Simon Scannell, pesquisador da RIPS Technologies que relatou o problema, no anúncio de lançamento da versão 5.1.1 :

Esta versão também inclui um par de correções de segurança que manipulam como os comentários são filtrados e, em seguida, armazenados no banco de dados. Com um comentário mal-intencionado, um post do WordPress era vulnerável a scripts entre sites. [..] Adere a Simon Scannell, da RIPS Technologies, que descobriu essa falha independente de algum trabalho que estava sendo feito por membros da equipe central de segurança. 

Conforme explicado por Scannell em sua análise da cadeia de exploração que começa com uma vulnerabilidade CSRF, “a cadeia permite que qualquer site WordPress com configurações padrão seja invadido por um invasor, simplesmente atraindo um administrador desse site para um site malicioso. “

Além disso, “o administrador da vítima não percebe nada no site do invasor e não precisa se envolver em nenhuma outra forma de interação, além de visitar o site configurado pelo invasor”.

Enquanto o relatório inicial do Scannell de 10 de outubro mencionava “que é possível injetar mais tags HTML do que deveria ser permitido via CSRF para o WordPress”, os pesquisadores subsequentemente conseguiram “escalar a injeção HTML adicional para uma vulnerabilidade de XSS Armazenado”.

Como medida de mitigação para administradores do WordPress que não podem atualizar imediatamente sua instalação para a versão 5.1.1 corrigida, a Scannell recomenda desabilitar os comentários e fazer logout antes de visitar outros sites.

Dezenas de milhares de sites potencialmente impactados

O principal colaborador do WordPress, Peter Wilson, disse que cerca de 20.000 sites teriam sido afetados pelo bug XSS corrigido, com:

  • wp_print_scripts ( wpdirectory search ): 17.5k instala aproximadamente
  • resposta de comentários dentro da matriz ( pesquisa no diretório wp ): principalmente falsos positivos de temas híbridos e bifurcados, 3-4k instala.

Gary Pendergast, também colaborador do WordPress, argumentou : “Dos 20 mil sites potencialmente afetados, ~ 4 mil estão executando o WordPress 5.0, então esses são os sites que provavelmente atualizarão para o 5.1 assim que forem lançados. Para os temas que usam wp_print_scripts (), a maioria deles verifica se o encadeamento de comentários está desativado antes de imprimi-lo, portanto, uma solução razoável é desativá-lo. “

Por outro lado, o pesquisador que encontrou e relatou o bug  diz que “As vulnerabilidades existem em versões do WordPress anteriores à 5.1.1 e são exploráveis ​​com configurações padrão. O WordPress é usado por mais de 33% de todos os sites na internet, de acordo com sua própria página de download. Considerando que os comentários são um recurso central dos blogs e estão ativados por padrão, a vulnerabilidade afetou milhões de sites. “

Adriano Lopes

Adriano Lopes é o criador e proprietário do MundoHacker.net.br. Desenvolvedor Web, Hacker Ético, Programador C, Python, Especialista em Segurança da Informação.