Автор: Как выяснили исследователи, XML (XXE) в WordPress может позволить злоумышленникам удаленно украсть файлы жертвы. Исследователи безопасности из SonarSource, обнаружившие уязвимость, опубликовали сообщение в блоге, в котором представлены технические подробности об исправленной ошибке.
Уязвимость XXE позволяет злоумышленнику вмешаться в обработку XML-данных приложением. Это может позволить им просматривать файлы в файловой системе сервера и взаимодействовать с любыми внутренними или внешними системами, к которым само приложение может получить доступ.
В этом случае ошибка XXE присутствовала в WordPress версии 5.7 и ниже, и могла позволить удаленное раскрытие произвольного файла и подделку запроса на стороне сервера (SSRF). В сообщении блога говорится, что эта проблема присутствует только в системах, которые работают с WordPress на PHP 8. Кроме того, необходимы разрешения для загрузки медиафайлов », – пояснили исследователи SonarSource в своем блоге.
«В стандартной установке WordPress это означает наличие авторских прав. Однако в сочетании с другой уязвимостью или плагином, позволяющим посетителям загружать медиафайлы, он может быть использован с более низкими привилегиями».
Исследователи сообщили об уязвимости кода команде безопасности WordPress, которая исправила ее в последней версии (5.7.1) и присвоила ошибке имя CVE-2021-29447.
WordPress, самое популярное в мире программное обеспечение для управления контентом, обслуживает около 40% всех используемых веб-сайтов, что делает его очевидной мишенью для злоумышленников.
К счастью, благодаря постоянной работе по обеспечению безопасности со стороны разработчиков платформы CMS с открытым исходным кодом, многие сайты, на которых работает WordPress, теперь будут обновляться автоматически.
Веб-администраторы, у которых не включена эта функция, могут обновиться через панель администратора WordPress.
А на этом сегодня все, надеюсь, данная статья будет вам полезна.
Хотелось бы выразить огромную благодарность тем, кто принимает активное участие в жизни и развитии журнала, огромное спасибо вам за это.
Журнал Cyber-X
