Tek što su zakrpali stari, otkriven novi XSS sigurnosni propust u WordPressu

WordPress je ponovno u problemima jer njegove verzije 4.2 i ranije pogađa bug koji omogućava da se maliciozni JavaScript „ubaci“ među okvir za komentare ispod tekstova te time dođe u poziciju ukrast privatne podatke korisnika.

Finska kompanija Klikki Oy spcijalizirana je za sigurnost i detektirala bug koji može napraviti mnogo štete korisnicima WordPressa. I uistinu je doslovno moguće napraviti mnogo štete jer se, kad je aktiviran, može "ubaciti" na poziciju administratora, potom promijeniti njihove lozinke i kreirati nove administratorske račune. S te pozicije je moguće napraviti uistinu mnogo stvari jer je sve na dlanu.

Zanimljivo, bug nastane kad se postavljaju duži komentari, koji čine 64KB ili više. Za taj dio WordPress je kriv sam jer nije dovoljno dobro pristupio tim detaljima, ali sreća je u tome što postoje kompanije kojima je posao naći nepravilnosti i potom obavijestiti o njima te samim time pomoći da se uklone.

Naravno, ne treba previše ni biti kritičan prema WordPressu jer da biste imali komentar o 64KB i više, potrebno je napisati komentar od 65 tisuća znakova, ili više. Naravno, kad se to zna, može se i napraviti klasični copy/paste pa ne treba toliko tipkati.

Loša vijest za one koji su možda to željeli koristiti jest da svaki komentar prije objave treba proći moderiranje. Toliki komentar nikad ne bi bio dozvoljen i samim time "napadač" mora prvo ostaviti komentar koji je potpuno pozitivan ili neutralan, ali i kratak. Kad je on odobren, editiranjem se postavi minimalno 65 tisuća znakova i zatim je moguće raditi sve nečasne radnje koje napadač želi.

Srećom, WordPress će sad to ispraviti, ali ova situacija potvrđuje da je taj popularni servis itekako pogodno tlo za hakere, prepun je raznih bugova i na njih Klikki Oy upozorava posljednjih 14 mjeseci i konstantno ih traži te pomaže u njihovom uklanjanju.