Обнаружено, что в плагине безопасности WordPress есть две уязвимости, которые могут привести к вредоносной загрузке, межсайтовому скриптингу и просмотру содержимого произвольных файлов.
Содержание
Плагин All-In-One Security (AIOS) для WordPress
Плагин All-In-One Security (AIOS) WordPress, предоставленный издателями UpdraftPlus, предлагает функции безопасности и брандмауэра, предназначенные для блокировки хакеров.
Он предлагает защиту безопасности входа в систему, которая блокирует злоумышленников, защиту от плагиата, блокирует хотлинкинг, блокировку спама в комментариях и брандмауэр, который служит защитой от угроз взлома.
Плагин также обеспечивает проактивную безопасность, предупреждая пользователей о распространенных ошибках, таких как использование имени пользователя «admin».
Это комплексный пакет безопасности, поддерживаемый создателями Updraft Plus, одного из самых надежных издателей плагинов для WordPress.
Эти качества делают AIOS очень популярным, с более чем миллионом установок WordPress.
Две уязвимости
Национальная база данных уязвимостей (NVD) правительства США опубликовала пару предупреждений о двух уязвимостях.
1. Ошибка очистки данных
Первая уязвимость связана с ошибкой очистки данных, в частности, с ошибкой экранирования файлов журналов.
Экранирование данных — это базовый процесс безопасности, который удаляет любые конфиденциальные данные из выходных данных, сгенерированных подключаемым модулем.
В WordPress даже есть страница разработчика, посвященная этой теме, с примерами того, как и когда это делать.
WordPress’ страница разработчика по экранированию выходов объясняет:
«Экранирование вывода — это процесс защиты выходных данных путем удаления нежелательных данных, таких как искаженный HTML или теги сценария.
Этот процесс помогает защитить ваши данные до того, как они будут переданы конечному пользователю».
NVD описывает эту уязвимость:
«Плагин All-In-One Security (AIOS) WordPress до версии 5.1.5 не скрывал содержимое файлов журнала перед выводом его на страницу администрирования плагина, позволяя авторизованному пользователю (admin+) размещать фиктивные файлы журнала, содержащие вредоносный код JavaScript. это будет выполнено в контексте любого администратора, посещающего эту страницу».
2. Уязвимость обхода каталога
Вторая уязвимость, по-видимому, связана с обходом пути.
Эта уязвимость позволяет злоумышленнику использовать сбой системы безопасности для доступа к файлам, которые обычно недоступны.
некоммерческая Open Worldwide Application Security Project (OWASP) предупреждает что успешная атака может скомпрометировать важные системные файлы.
«Атака обхода пути (также известная как обход каталога) направлена на доступ к файлам и каталогам, которые хранятся за пределами корневой веб-папки.
Управляя переменными, которые ссылаются на файлы с последовательностями «точка-точка-слэш (../)» и их вариантами, или используя абсолютные пути к файлам, можно получить доступ к произвольным файлам и каталогам, хранящимся в файловой системе, включая исходный код приложения или конфигурацию. и важные системные файлы».
NVD описывает эту уязвимость:
«Плагин All-In-One Security (AIOS) WordPress до версии 5.1.5 не ограничивает, какие файлы журналов отображать на страницах настроек, позволяя авторизованному пользователю (admin+) просматривать содержимое произвольных файлов и список каталогов в любом месте на сервер (к которому веб-сервер имеет доступ).
Плагин отображает только последние 50 строк файла».
Обе уязвимости требуют, чтобы злоумышленник получил учетные данные уровня администратора для использования атаки, что может затруднить атаку.
Однако ожидается, что плагин безопасности не будет иметь таких предотвратимых уязвимостей.
Рассмотрите возможность обновления плагина AIOS для WordPress
AIOS выпустила исправление для версии 5.1.6 плагина. Пользователи могут рассмотреть возможность обновления по крайней мере до версии 5.1.6 и, возможно, до последней версии 5.1.7, которая устраняет сбой, возникающий, когда брандмауэр не настроен.
Прочтите два бюллетеня по безопасности NVD
CVE-2023-0156 Неправильное ограничение пути к каталогу с ограниченным доступом («Обход пути»)
Избранное изображение Shutterstock/Kues
