WordPress 4.2のXSS脆弱性

Wordpress4.2.1になってやっとfixされた、Wordpress4.2の脆弱性。ゼロデイ攻撃というやつですねえ。

今回は4.2、4.1.2、4.1.1、3.9.3が対象ということで、かなり大規模じゃないんですかね。

「WordPress 4.2」の更新版公開、全バージョンに深刻な脆弱性が存在 - ITmedia エンタープライズ WordPress 4.2 Stored XSS

Wordpressの現在のバージョンでは、XSSの脆弱性が存在します。認証されていない攻撃者は、WordPressのコメントにJavaScriptを注入することができます。 コメントが表示されると、スクリプトがトリガされます。 ログインした管理者によってトリガすると、デフォルトの設定で、攻撃者は、プラグインとテーマエディタを介してサーバ上で任意のコードを実行する脆弱性を利用することができます。 あるいは攻撃者は、管理者のパスワードの変更や新しい管理者アカウントを作成したり、 現在ログインしている管理者がシステム上で行うことができるものは何でも行うことができます。

原理としては、 WordpressのコメントのデータベースはMySQLのTEXT型として登録するため、 64KB(65,535B)以上だと途中で文章が切り捨てられ、そのままhtmlタグとして動作する。 といった感じですか？

実際自分で自鯖を攻撃して試してみるのも良かったかもしれない、がその前にアップデートしちまった。

動画DEMO

では、コメントでexploit.jsを流し込んで、バックドアを仕掛けてます。 これ見る限りやはり管理者権限と同等のことが出来るようです。怖いなあ。

こんなもん放置してたのかよ・・・ 4.2またはその他対象のバージョン使用者は、早急にアップデートしたほうがよろしいと思います。