Текущий механизм обновления WordPress уязвим

wordpress-logoХотя, в целом, WordPress является довольно защищенной CMS, поступающие сообщения о баге в механизме обновления ставят эту защищенность под сомнение.

Информация о проблеме была опубликована в отчете WordFence. Суть проблемы заключается в том, что api.wordpress.org использует функцию GitHub webhook, что приводит к тому, что любой сделанный в GitHub коммит автоматически подхватывается как обновление.

Проведя анализ кода webhook, который является открытым, специалисты WordFence обнаружили уязвимость, которая позволяет атакующему выполнить свой код на api.wordpress.org. Глобальность проблемы заключается в том, что в данном случае будет скомпрометирован не только сервер обновлений WordPress, но миллионы сайтов, работающие под этой CMS.

Текущий механизм обновления WordPress уязвим
Потенциальный механизм атаки через механизм обновления WordPress

По утверждениям WordFence, WordPress не осуществляет верификацию подписи, доверяя всем URL и пакетам, полученным от api.wordpress.org. Хотя в текущей версии 4.6.1 разработчики и приложили усилия для решения данной проблемы, полностью она решена так и не была.

Специалисты по компьютерной безопасности рекомендуют разработчикам WordPress усилить алгоритмы хеширования для верификации кода. Текущая ситуация, когда разработчику дозволено использовать слабые алгоритмы хеширования, приводит к тому, что на подбор ключа может уйти всего несколько часов. Что касается администраторов сайтов, то им остаётся периодически проверять код своих сайтов и, возможно, отключить автоматическое обновление WordPress.

Добавить комментарий

Ваш адрес email не будет опубликован.