U radu programskog paketa WordPress, odnosno u njegovom dodatku Quick Post Widget, uočene su dvije sigurnosne ranjivosti. WordPress je program za upravljanje web sadržajem koji se često koristi kao alat za uređivanje blogova, a napisan je u programskom jeziku PHP. Prva od spomenutih nepravilnosti posljedica je neispravne provjere ulaznih podataka predanih putem parametara "quick_post_title", "quick_post_content" i "quick_post_new_cat" datoteci index.php. Napadačima omogućuje pokretanje proizvoljnog HTML ili skriptnog koda. Druga ranjivost napadačima omogućuje izvođenje određenih radnji putem HTTP zahtjeva i to bez određene provjere tih zahtjeva. Do sada nije dostupno službeno rješenje.

_______________________________________________________________________________

ID upozorenja: ADV-LSS-2012-07-036
Naslov: Dvije ranjivosti programskog paketa WordPress
Datum: 2012-07-12
OS: Windows, Mac OS, Solaris, Linux, BSD 
Programski paket: WordPress
Tip sigurnosnog problema: XSS napad, podmetanje proizvoljnog sadrzaja
Rizik: Malen
_______________________________________________________________________________

[1]  Uvod

Prilikom upotrebe programskog paketa WordPress, odnosno njegovog dodatka Quick Post Widget, uoceno je vise sigurnosnih propusta.

Radi se o programu za upravljanje sadrzajem koji se cesto koristi kao alat za uredjivanje blogova, a napisan je u programskom jeziku PHP. Njegov dodatak Quick Post Widget korisnicima omogucuje brzo i jednostavno dodavanje postova na svoje stranice.

Vise informacija dostupno je na sljedecim web adresama:

WordPress:
http://wordpress.org

Quick Post Widget:
http://wordpress.org/tags/quick-post-widget

-------------------------------------------------------------------------------

[2]  Sigurnosni problem

Ranjivosti uocene u radu programskog paketa WordPress napadacima omogucuju izvodjenje XSS (eng. cross-site scripting) napada i podmetanje proizvoljnih podataka.

-------------------------------------------------------------------------------

[3]  Sigurnosna zastita

Nije dostupno sluzbeno rjesenje. 

-------------------------------------------------------------------------------

[4]  Analiza

* Ulazni podaci predani putem parametara "quick_post_title", "quick_post_content" i "quick_post_new_cat" datoteci index.php nisu ispravno provjereni prije vracanja korisniku. To se moze iskoristiti za pokretanje proizvoljnog HTML ili skriptnog koda u korisnikovom pregledniku u kontekstu posebno oblikovane web stranice.

* Druga ranjivost korisnicima omogucuje izvodjenje odredjenih radnji putem HTTP zahtjeva i to bez odredjene provjere tih zahtjeva. Napadaci to mogu iskoristiti za npr. objavljivanje proizvoljnih postova ili umetanje skripti.

Ranjivosti su potvrdjene u inacici 1.9.1. Starije inacice takodjer mogu sadrzavati iste nedostatke.

-------------------------------------------------------------------------------

[5]  Credit

Informacije o propustima otkrio je:

Stefan Schurtz.

Tekst izvorne preporuke nalazi se na sljedecoj adresi:

http://www.darksecurity.de/index.php?/218-SSCHADV2012-016-WordPress-Plugin-Quick-Post-Widget-1.9.1-Multiple-XSS-vulnerabilities.html

-------------------------------------------------------------------------------

[6]  LSS/ZESOI/FER  

LSS, www.lss.hr - laboratorij za sustave i signale pri Zavodu za  elektronicke sustave i obradbu informacija Fakulteta elektrotehnike i racunarstva Sveucilista u Zagrebu  

_______________________________________________________________________________