WordPress-sisällönhallintajärjestelmästä on löytynyt kriittinen haavoittuvuus. Haavoittuvuus koskee kaikkia toistaiseksi julkaistuja WordPress 3 -versioita. Haavoittuvuuden avulla hyökkääjän on mahdollista suorittaa mielivaltaisia komentoja ylläpitäjän oikeuksin ja tätä kautta esimerkiksi vaihtaa ylläpitäjän salasanaa. Haavoittuvuuden hyväksikäyttö ei vaadi kirjautumista, ja sen mahdollistava kommentointiominaisuus on oletuksena käytössä WordPress-ohjelmiston perusasennuksessa.

Haavoittuvuus liittyy WordPress-asennuksen sivujen sekä viestien kommentointimahdollisuuteen, johon sopivalla tavalla muokattua JavaScript-ohjelmakoodia syöttämällä voi hyökkääjä saada kohdepalvelimen haltuunsa.

Haavoittuvuuden hyväksikäyttö vaatii sen, että sivustolle syötetty kommentti luetaan ylläpitäjän tunnuksella. Tällöin kommentin sisällä oleva ohjelmakoodi suoritetaan, ja tämän kautta hyökkääjä voi saada kohdejärjestelmän haltuunsa. Ohjelmakoodin suorittaminen ei näy järjestelmän ylläpitäjälle mitenkään. Kommenttien tarkastaminen etukäteen on yleinen käyttötapa WordPress-sivustoilla, jolloin kommentit tulevat julkisiksi vasta siinä vaiheessa kun sivuston ylläpitäjä on ne hyväksynyt (englanniksi "moderation").

Haavoittuvuuden mahdollistava ohjelmointivirhe on WordPress-asennuksen tiedostossa wp-includes/formatting.php. Ohjelmointivirheen johdosta ohjelmisto tulkitsee kommenttikenttään syötetyt hakasulku- ja kulmamerkit virheellisesti, mikä johtaa sopivalla tavalla käytettynä halutun tekstin suorittamisen HTML-koodina.

• Palvelimet ja palvelinsovellukset
• Työasemat ja loppukäyttäjäsovellukset
• Verkon aktiivilaitteet
• Matkaviestinjärjestelmät
• Sulautetut järjestelmät
• Muut

Kohde

• Palvelimet ja palvelinsovellukset

Hyökkäystapa

• Ilman kirjautumista
• Etäkäyttö
• Ilman käyttäjän toimia

Hyväksikäyttö

• Komentojen mielivaltainen suorittaminen
• Käyttövaltuuksien laajentaminen
• Tietojen muokkaaminen
• Luottamuksellisen tiedon hankkiminen
• Palvelunestohyökkäys
• Suojauksen ohittaminen

Ratkaisu

• Korjaava ohjelmistopäivitys
• Ongelman rajoittaminen

Haavoittuvat ohjelmistot:

WordPress 3.0 - 3.9.2

Ratkaisu- ja rajoitusmahdollisuudet:

Suositeltu ratkaisukeino on päivittää haavoittuva ohjelmisto valmistajan ohjeen mukaisesti versioon 4.0.1

Mikäli WordPressin automaattinen taustapäivitysmekanismi on käytössä päivittää se automaattisesti versiot 3.9.2, 3.8.4 ja 3.7.4 ohjelmistoversioihin 3.9.3, 3.8.5 ja 3.7.5 haavoittuvuuden korjaamiseksi. Valmistaja suosittelee asennusten päivittämistä kuitenkin versioon 4.0.1, koska vanhemmat versiot eivät ole tuettuja.

Jos päivittäminen ei ole mahdollista, hyväksikäyttömahdollisuutta voi rajoittaa poistamalla käyttäjiltä mahdollisuus lisätä sivuille kommentteja.

Lisätietoa:

• https://wordpress.org/news/2014/11/wordpress-4-0-1/
• http://klikki.fi/adv/wordpress.html