Prilikom upotrebe programskog paketa WordPress, odnosno njegovog dodatka MeeNews, uočena je nova sigurnosna ranjivost. Radi se o alatu, napisanom u programskom jeziku PHP, koji se koristi za stvaranje vlastite web stranice ili bloga. Njegov dodatak MeeNews služi za stvaranje, prilagođavanje i slanje poruka putem mailing liste. Ranjivost se javlja kao posljedica neispravne provjere ulaznih podataka predanih preko parametra "idnews" datoteci wp-admin/admin.php. Napadači navedenu ranjivost mogu iskoristiti za pokretanje proizvoljnog HTML ili skriptnog koda. Svim se korisnicima savjetuje izmjena izvornog koda.

_______________________________________________________________________________

ID upozorenja: ADV-LSS-2011-11-063
Naslov: Propust programskog paketa Wordpress
Datum: 2011-11-28
OS: Windows, Mac OS, Solaris, Linux, BSD
Programski paket: WordPress
Tip sigurnosnog problema: XSS napad
Rizik: Malen
_______________________________________________________________________________

[1]  Uvod

Prilikom upotrebe programskog paketa WordPress, odnosno njegovog dodatka MeeNews, 
otkriven je novi sigurnosni propust.

WordPress je program za upravljanje sadrzajem koji se cesto koristi kao alat za 
uredjivanje blogova, a napisan je u programskom jeziku PHP. Njegov dodatak MeeNews 
koristi se za stvaranje, prilagodjavanje i slanje oglasa u vrlo kratkom vremenu putem mailing liste. 

Vise informacija o navedenom programskom paketu dostupno je na sljedecim web adresama:

http://wordpress.org/

http://www.wp-newsletter.com/

-------------------------------------------------------------------------------

[2]  Sigurnosni problem

Problem uocen u radu programskog paketa WordPress, odnosno njegovog dodatka MeeNews, napadacima omogucuje izvodjenje XSS (eng. cross-site scripting) napada.

-------------------------------------------------------------------------------

[3]  Sigurnosna zastita

Svim se korisnicima preporuca izmjena izvornog koda.  

-------------------------------------------------------------------------------

[4]  Analiza

Ulazni podaci predani putem parametra "idnews" datoteci wp-admin/admin.php (kada je 
opcija "page" postavljena na "newsletter_manager.php", a opcija "acc" na "edit") nisu 
ispravno provjereni u datoteci wp-content/plugins/meenews/inc/tpl/mee_editot_newsletter.php 
prije vracanja korisniku. To se moze iskoristiti za pokretanje proizvoljnog HTML ili 
skriptnog koda u korisnikovom pregledniku u kontekstu posebno oblikovane web stranice.

Ranjivost je potvrdjena u inacici 5.1.0. Ostale inacice takodjer mogu sadrzavati 
istu sigurnosnu nepravilnost.

-------------------------------------------------------------------------------

[5]  Credit

Informacije o propustu otkrio je:

Mister Teatime. 

-------------------------------------------------------------------------------

[6]  LSS/ZESOI/FER  

LSS, www.lss.hr - laboratorij za sustave i signale pri Zavodu za elektronicke 
  sustave i obradbu informacija Fakulteta elektrotehnike i racunarstva  
  Sveucilista u Zagrebu  

_______________________________________________________________________________