В 12 из 50 самых популярных плагинов к WordPress выявлены уязвимости

20.06.2013 10:54

Компания Checkmarx провела анализ (PDF, 600 Кб) безопасности 50 наиболее популярных плагинов к ориентированной на создание блогов системе управления web-контентом WordPress. Итоги оказались плачевными - 12 плагинов из 50 (24%) оказались уязвимыми к типичным атакам на web-приложения, таким как подстановка SQL-кода, доступ к файлам в вышестоящим директориям (например через указание "../" в пути), межсайтовый скриптинг (XSS) и подделка межсайтовых запросов (CSRF).

При сужении выборки до 10 самых популярных плагинов, связанных с электронной коммерцией, уязвимости были выявлены в 7 (70%). С учётом того, что WordPress используется для обеспечения работы приблизительно 60 млн сайтов в сети, что составляет примерно 18% от числа всех сайтов в Web, проблема принимает угрожающий характер. Точные данные по числу сайтов использующих те или иные плагины не приводится, но известно, что в сумме было загружено 8 млн копий уязвимых плагинов (1.7 млн если рассматривать только плагины для электронной коммерции).

По мнению Checkmarx столь внушительное распространение уязвимых плагинов объясняется беспечностью администраторов сайтов, не пытающихся убедиться в том что плагин безопасен и уверенных, что загружая плагин из достоверного источника они получают безопасный код. С другой стороны распространению уязвимостей способствует отсутствие должного тестирования плагинов на наличие проблем с безопасностью и отсутствие стандартов на проверку приложений, предоставляемых для запуска в PaaS-сервисах или загрузки из каталога WordPress.org.

Примечательно, что проведённое в январе аналогичное исследование выявило 18 уязвимых плагинов для которых зафиксировано 18.5 млн загрузок, а повторная проверка, выполненная спустя 6 месяцев, показала, что уязвимости по прежнему сохраняются в 12 из них. Таким образом только в 6 плагинах уязвимости были устранены в течение 6 месяцев, несмотря на то, что функциональные обновления за указанный период были выпущены для всех плагинов. В качестве возможной меры по исправлению ситуации с безопасностью плагинов предлагается ужесточить критерии приёма плагинов в каталог WordPress.org, допуская размещение только плагинов прошедших проверку безопасности кода.

исправить +10 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/37227-wordpress

Ключевые слова: wordpress, security, plugin

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (31)

1.1, Аноним (-), 11:41, 20/06/2013 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Кто бы ownCloud проверил на уязвимости...

2.2, Аноним (-), 11:53, 20/06/2013 [^] [^^] [^^^] [ответить]	+/–
ownCloud же не выставляют в общий доступ.

3.3, Andrey Mitrofanov (?), 11:54, 20/06/2013 [^] [^^] [^^^] [ответить]	+/–
> ownCloud же не выставляют в общий доступ. А не на них запускают "произвольные" сервисы?

3.9, Аноним (-), 13:39, 20/06/2013 [^] [^^] [^^^] [ответить]	+/–
но в интернет то выставляется, а значит может быть атакован

1.4, анон (?), 12:27, 20/06/2013 [ответить] [﹢﹢﹢] [ · · · ]	+/–
php?

2.5, Xasd (ok), 12:45, 20/06/2013 [^] [^^] [^^^] [ответить]

+7 +/–

PHP -- это не причина -- а возможное следствие. :)

а причина -- кривые руки. :)

[суть: не все PHP-программисты криворукие.. но зачустую кривизна рук заставляет использовать именно PHP :)]

такие же криворукие -- и да же вообще без серверного кода (без PHP) -- делают ошибки на ровном месте (XSS) , а потом не хотят призновать что в их коде есть XSS, даже когда на строчку с XSS показывают пальцем.

вот очередной пример криворукости: на этот раз облажался (и до сох пор лажает) автор популярнейшего компонента -- fancyBox:

http://fancyapps-fancybox-escaping-bugfix.github.io/demo/demo-1/demo-1.html

https://github.com/fancyapps/fancyBox/issues/615

автор компонента fancyBox -- думает что если он пишет код на Javascript (а не на PHP), то значит Javascript освобождает автора от обязанности экранировать значения HTML-атрибутов в случаях когда происходит формирование HTML-кода напрямую из текста (а не через Document Object Model).

бывают же идиоты которые вдолбили себе в голову что XSS это сугубо серверная ошибка -- и не хотят даже пару раз поразмыслить головой.

2.16, Нанобот (?), 15:11, 20/06/2013 [^] [^^] [^^^] [ответить]	+/–
дык, естественно

1.6, blablabla (ok), 13:02, 20/06/2013 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Ну а что тут удивительного Бот сети то надо же как то пополнять

1.7, Alexander (??), 13:11, 20/06/2013 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Сам WordPress - это одна большая уязвимость.

2.8, Xasd (ok), 13:18, 20/06/2013 [^] [^^] [^^^] [ответить]

+4 +/–

> Сам WordPress - это одна большая уязвимость.

разве?

в новости же говорится лишь про плугины к нему.

аналогия:

если Firefox обвешать говнорасширениями -- то он станет тупить и тормозить...

...но это же НЕ значит что Firefox это тупая и тормознутая программа :) .

1.10, arisu (ok), 13:42, 20/06/2013 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> Компания Checkmarx провела анализ безопасности 50 наиболее популярных плагинов > к ориентированной на создание блогов системе управления web-контентом WordPress. …в результате исследователи поразбивали лица фэйспалмами и смогли хором произнести только одно слово: «пи…ец!»

2.22, 80е (?), 19:00, 20/06/2013 [^] [^^] [^^^] [ответить]	+/–
Пока что это «исследование» есть песня ртом.

1.11, lucentcode (ok), 13:43, 20/06/2013 [ответить] [﹢﹢﹢] [ · · · ]	+/–
А чего вы ожидали от плагинов, написанных к одному из самых дырявых движков в Сети. Сама архитектура Wordpress крайне уродлива, и способствует написанию быдлокода. Добавьте к этому ещё и низкий профессиональный уровень многих людей, которые пишут расширения для этого движка - и всё становится ясно. Кто хочет надёжности, тому нужен Drupal(правда прийдётся разориться на хостинг).

2.12, emg81 (ok), 14:18, 20/06/2013 [^] [^^] [^^^] [ответить]	+/–
"разориться"? :-D ну, наверное, если посещаемость свыше 10000 чел / день, то да, а на скромные сайты из нескольких десятков анонимусов можно по 20-50 коп. в день тратить

2.13, бедный буратино (ok), 14:20, 20/06/2013 [^] [^^] [^^^] [ответить]	–1 +/–
- Изобразите нам что-нибудь эротическое, но с крутым обломом в конце? - А-а-а-а-а-....апчхи!!!

1.14, Аноним (-), 14:20, 20/06/2013 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Чему тут удивляться? Да весь интернет слеплен из гoвна и палок.

2.15, бедный буратино (ok), 14:28, 20/06/2013 [^] [^^] [^^^] [ответить]	+3 +/–
и анонимов. важное связующее звено

3.25, Crazy Alex (ok), 19:49, 20/06/2013 [^] [^^] [^^^] [ответить]	+/–
Я бы сказал, что анонимы являются подвидом одной из двух указанных категорий. Блин, неужели так сложно ник зарегистрировать? Хрен поймешь даже, сколько анонимов в беседе участвуют, а уж кому отвечаешь - и подавно.

4.26, arisu (ok), 21:25, 20/06/2013 [^] [^^] [^^^] [ответить]	+1 +/–
да ну. хороший анонимус от другого хорошего анонимуса отличается. а если не отличаются, то без разницы, сколько дураков в стопке.

5.28, Аноним (-), 01:41, 21/06/2013 [^] [^^] [^^^] [ответить]	+2 +/–
Конечно! Важно сколько в ней зарегистрированных дураков!

6.31, Аноним (-), 12:19, 21/06/2013 [^] [^^] [^^^] [ответить]	+/–
> Конечно! Важно сколько в ней зарегистрированных дураков! И арису с буратиной возглавляют колонну этих самых особей :))))))))))))))))))))

7.32, бедный буратино (ok), 12:40, 21/06/2013 [^] [^^] [^^^] [ответить]	+/–
>> Конечно! Важно сколько в ней зарегистрированных дураков! > И арису с буратиной возглавляют колонну этих самых особей :)))))))))))))))))))) Смотрю, буратино уже вышел из-под контроля.

1.17, Нанобот (?), 15:17, 20/06/2013 [ответить] [﹢﹢﹢] [ · · · ]	+/–
в самом отчёте пишут "Checkmarx ran an automated static code analysis scan against the most popular plugins". иными словами, у них есть некий софт для автоматического поиска багов, только делиться они им не хотят. вместо этого предлагают всякие бесполезные в реальном мире решения, вроде "ужесточить критерии приёма плагинов"

2.18, arisu (ok), 15:46, 20/06/2013 [^] [^^] [^^^] [ответить]	+/–
они предлагают нормальные решения. невозможно при помощи автоматики решить проблему кизза в голове.

2.19, YetAnotherOnanym (ok), 16:30, 20/06/2013 [^] [^^] [^^^] [ответить]	+/–
Нешто на их средствах для аудита свет клином сошёлся? Google://automated source code audit tools

2.23, 80е (?), 19:03, 20/06/2013 [^] [^^] [^^^] [ответить]	+/–
> в самом отчёте пишут "Checkmarx ran an automated static code analysis scan > against the most popular plugins". > иными словами, у них есть некий софт для автоматического поиска багов, только > делиться они им не хотят. вместо этого предлагают всякие бесполезные в > реальном мире решения, вроде "ужесточить критерии приёма плагинов" иными словами, их «code analysis scan» может оказаться false positive и к определению уязвимостей отношения не иметь.

3.24, Andrey Mitrofanov (?), 19:45, 20/06/2013 [^] [^^] [^^^] [ответить]	+/–
> иными словами, их «code analysis scan» может оказаться false positive и к > определению уязвимостей отношения не иметь. простыми словами, разговоры в пользу бедных продавцов неоткры^Wзакрытого как обычно оказываются маркетинговым булшитом

4.27, 80е (?), 22:28, 20/06/2013 [^] [^^] [^^^] [ответить]	+/–
> простыми словами, разговоры в пользу бедных продавцов > неоткры^Wзакрытого как обычно оказываются маркетинговым булшитом Как минимум, купить этот товар Checkmarx предлагает.

5.30, Andrey Mitrofanov (?), 12:07, 21/06/2013 [^] [^^] [^^^] [ответить]

+/–

>> как обычно оказываются маркетинговым булшитом
> Как минимум, купить этот товар Checkmarx предлагает.

""маркетинговым булшитом с целью развода не деньги""

Принимается!

1.20, Sylvia (ok), 17:26, 20/06/2013 [ответить] [﹢﹢﹢] [ · · · ]	+/–
список (в надежде авторов на исправление ) открыто не оглашают? а жаль, я вот думаю что быстро не исправятся, даже сами вордпрессы не чешутся совсем с исправлением CVE-2013-2173 (DDOS на защищенные паролем блоги), надо бы им "задать амплитуду"

2.29, Аноним (-), 10:38, 21/06/2013 [^] [^^] [^^^] [ответить]	+/–
вот и приходится нам, админам, самим проверять тот софт, что используем

игнорирование участников | лог модерирования

Добавить комментарий

Текст: