Rychlá bezpečnostní záplata ve WordPress 4.5.2

Před pár dny byl v rychlosti vydán WordPress 4.5.2. Oproti verzi 4.5.1 se jednalo o bezpečnostní update, který měl za úkol zaplátat hned dvě díry ve WordPress, vlastně to nebyly tak úplně díry ve WordPress, ale knihovnách třetích stran. Jedna z děr se týká verzí od 3.6 a druhá se objevila ve 4.2. Tato aktualizace je tak zajímavá právě tím, že samotný WordPress vlastně nic neopravoval 🙂

Plupload

Plupload je knihovna třetí strany, kterou WordPress využívá k nahrávání souborů a obrázků od verze 4.2.Nachází se v ní zranitelnost SOME (Same Origin Method Execution), ta byla poprvé představena Benem Hayakem veřejnosti v roce 2014, kde bylo demonstrováno jak zaslat obrázky z Google plus na doménu potenciálního útočníka. Za objevení zranitelnosti pak dostal od Google odměnu 3133 USD v rámci bug bounty programu.Tato zranitelnost umožňuje útočníkům provádět za uživatele určité nechtěné akce. Využívá se k tomu JSONP (JavaScript Object Notation), která obchází omezení komunikace prohlížeče napříč doménami.

Pokud se vám nahrávání souborů ve WordPress líbí můžete si knihovnu Plupload stáhnout na plupload.com a využít pro vlastní projekt. Mezi její největší přednosti patří Drag and Drop souborů rovnou do prohlížeče. Takže vezmete soubor z plochy a přetáhnete jej do pole pro nahrávání souborů na stránce. Od dubna 2016 je přeložená i do češtiny.

MediaElement.js

Další závažnější díra je v MediaElement.js, který je součástí WordPress od verze 3.6. Pokud zavoláte soubor MediaElement.js se specifickým řetězcem můžete na stránce zobrazit vlastní kód. Jedná se tedy o XSS (cross-site scripting). Takto lze zobrazit například JavaScript, Flash anebo ActiveX. Tedy nepřímo vložit škodlivý kód, například odkazující na malware, popřípadě uživatele přesměrovat na stránku s nebezepčným obsahem. Tato zranitelnost se nacházela i v předchozích verzí.

MediaElement.js je audio a video přehrávač čistě v HTML a CSS (pro starší prohlížeče nabízí Custom Flash a Silverlight). Původně byl jen jako plugin pro WordPress, ale v dubnu 2013 se dostal přímo do jádra 3.6. Více informací se o něm dozvíte na mediaelementjs.com.

Závěr

Po nahlášení zranitelnosti, došlo k opravě jak Plupload tak i MediaElement.js přímo týmy co za nimi stojí. Aktualizace WordPress 4.5.2 tedy stáhne nové zaplátané verzi těchto knihoven.

Autor Ginoza

Pracuji na zákaznické podpoře jednoho známého webhostingu.

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *