The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Критическая уязвимость в WordPress-плагине wpDiscuz, насчитывающем 80 тысяч установок

02.08.2020 10:47

В WordPress-плагине wpDiscuz, который установлен на более чем 80 тысячах сайтов, выявлена опасная уязвимость, позволяющая без аутентификации загрузить любой файл на сервер. В том числе можно загрузить PHP-файлы и добиться выполнения своего кода на сервере. Проблеме подвержены версии с 7.0.0 по 7.0.4 включительно. Уязвимость устранена в выпуске 7.0.5.

Плагин wpDiscuz предоставляет возможность использования AJAX для динамической отправки комментариев без перезагрузки страницы. Уязвимость вызвана недоработкой в коде проверки загружаемых типов файлов, используемом для прикрепления изображений к комментариям. Для ограничения загрузки произвольных файлов вызывалась функция определения MIME-типа по содержимому, которую было легко обойти для загрузки PHP-файлов. Расширение файла не ограничивалось. Например, можно было загрузить файл myphpfile.php, указав вначале последовательность 89 50 4E 47 0D 0A 1A 0A, идентифицирующую PNG-изображения, а следом разместить блок "<?php" с PHP-кодом.

  1. Главная ссылка к новости (https://www.wordfence.com/blog...)
  2. OpenNews: Создатели WordPress инвестировали $4.6 млн в компанию, развивающую Matrix-клиент Riot
  3. OpenNews: WordPress и Apache Struts среди web-платформ лидируют по числу уязвимостей с эксплоитами
  4. OpenNews: Уязвимости в WordPress-плагинах, имеющих более миллиона установок
  5. OpenNews: Критические уязвимости в WordPress-плагинах, имеющих более 400 тысяч установок
  6. OpenNews: Релиз системы управления web-контентом WordPress 5.3
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/53477-wordpress
Ключевые слова: wordpress
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (56) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 10:59, 02/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +15 +/
    Насколько я помню из своего опыта работы с вордпресс, в нем каждый второй плагин такой.
     
     
  • 2.38, Аноним (38), 03:29, 03/08/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    wp - самый активный запрос на серваках для пробития дыр
     

  • 1.2, Spoofing (?), 11:02, 02/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +11 +/
    одни и те же уязвимости, когда ещё в нулевых загружали на форумы аватарки с php-кодом.
     
     
  • 2.28, Аноним (28), 17:12, 02/08/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Обучаемость - это не про пыхеров.
     
     
  • 3.48, Вадик (??), 09:17, 03/08/2020 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Дело не в обучаемости. Многие просто не понимают а что такого. Ну возникнет проблема, будем фиксить, главное что работает!
     

  • 1.3, Alex_K (??), 11:08, 02/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    "при выполнении PHP-файлов интерпретатор игнорирует все части вне блоков "<?php""

    Гупость написали :)
    Вне этих блоков содержимое выводится в STDOUT.
    Да еще и короткая форма <? прижилась.

     
     
  • 2.6, YetAnotherOnanym (ok), 12:23, 02/08/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Вне этих блоков содержимое выводится в STDOUT

    Как будто это помешает выполнить код внутри блока.

     
     
  • 3.26, НяшМяш (ok), 16:33, 02/08/2020 [^] [^^] [^^^] [ответить]  
  • –3 +/
    С такой особенности пыхи даже я только что офигел. Когда впервые мне показали пыху ещё в школе, я спросил "что это за кусок?". Чуйка моей пятой точки ещё ни разу не подводила меня.
     

  • 1.4, Аноним (4), 11:30, 02/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +9 +/
    Никогда такого не было и вот опять.
     
  • 1.5, suffix (ok), 12:21, 02/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –28 +/
    В старом анекдоте была такая фраза "евреи не жалейте заварки".

    Стоит на сайт выделить чуть больший бюджет и сайт можно будет сделать не на WP а на Битрикс - в котором уже есть модуль "Проактивная защита" который физически не допустит подобных ситуаций. Кроме того Битрикс вообще как правило не нуждается в сторонних плагинах - всё нужное есть из коробки.

    Итог: жадность порождает бедность!

     
     
  • 2.8, YetAnotherOnanym (ok), 12:28, 02/08/2020 [^] [^^] [^^^] [ответить]  
  • +18 +/
    > на Битрикс

    Тонко. Зачот.

     
     
  • 3.40, Аноним (40), 06:37, 03/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Торгует им или кодит на нем.
     
     
  • 4.47, suffix (ok), 08:33, 03/08/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Лавры Шерлока Холмса Вам не по плечу :)

    1. Не торгую (моя работа вообще с IT  или Web-ом не связана.

    2. Не программист ни разу, сайты не делаю.

    Но у меня сайт на Битрикс (хобби для души - без какой-либо монетизации, рекламы, услуг и т.п.) про хрюш которых я люблю искренне и бескорыстно :)

    Но я немного разбираюсь в "технологиях" и стараюсь быть в теме чтобы грамотно ТЗ уметь составлять.

    Вроде бы получается - во всяком случае мой сайт ("тяжёлой" версии Эксперт плюс добавленный сложный функционал под капотом который снаружи не виден, но помогает мне в работе с сайтом) "быстрее" чем большинство сайтов на WP.

    Можете сами проверить: https://www.babai.ru

     
     
  • 5.51, Аноним (51), 13:04, 03/08/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Раз не программист, тогда и нечего рассуждать.

    По качеству кода Битрикс находится под тем же плинтусом, рядом с вордпрессом.

     
     
  • 6.53, suffix (ok), 13:18, 03/08/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Снобизм свой поумерить не хотите ?

    Да, не программист но хостмастером себя назвать вполне могу :)

    Ну скажем в докaзательствльство:

    Возьмём к примеру лучший сервис проверки tls - immuniweb (раньше назывался htbridge).

    https://www.immuniweb.com/ssl/#about

    "The following security experts helped us improve this free product:"

    Первым в списке ваш покорный слуга :)

     
  • 5.59, benu (ok), 15:51, 03/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Прикольные истории для малышков у вас. :)
    https://www.babai.ru/video/ видео не открываются. FF 78.0.2
     
     
  • 6.60, suffix (ok), 16:07, 03/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    1. Спасибо :) Вы сказки имеете ввиду ?

    2. Странно - проверил - показывает в 79-ом. Может глюк какой у Ютуба ?

     
  • 2.9, Аноним (9), 12:36, 02/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Этот ваш битрикс никому кроме пары стран не нужОн. И даже если заказчик с одной из них, то ему понадобится не "чуть больший бюджет", а намного больший (пишу как человек, работающий с этим всем).

    "как правило не нуждается в сторонних плагинах" - это также относится в категории "чуть больший бюджет". Там, где в вп можно поставить плагин и не заморачиваться, в бх зачастую придется искать прогера, который впилит этот функционал, или опять же покупать модуль (далеко не факт, что таковой найдется).

    Никоим образом не защищаю вп, но предлагать бх как альтернативу, такое себе. Аксиома Эскобара в общем.

     
     
  • 3.11, suffix (ok), 12:40, 02/08/2020 [^] [^^] [^^^] [ответить]  
  • –4 +/
    >Там, где в вп можно поставить плагин

    Ну а потом что удивляться тому что взломали ?

    Я же писал выше - жадность порождает бедность :)

     
     
  • 4.14, Аноним (14), 14:14, 02/08/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вы пропустили последнее слово "вокруг".
     
  • 3.23, пох. (?), 15:45, 02/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > даже если заказчик с одной из них, то ему понадобится не "чуть больший бюджет",
    > а намного больший

    не будь лохом, найми исполнителя с другой из них - там по 500 ре работают и благодарят еще.

     
  • 2.10, Аноним (10), 12:39, 02/08/2020 [^] [^^] [^^^] [ответить]  
  • –6 +/
    Полностью поддерживаю. Битрикс - это лучшее что доступно для разработки сайтов.
     
     
  • 3.12, Michael Shigorin (ok), 13:02, 02/08/2020 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Ну если у вас пошли такие "предложения", то упомяну TYPO3 -- оно не только поспорит с битриксом, а и свободное.
     
     
  • 4.18, cypa (ok), 15:18, 02/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Михаил, вот от вас я не ожидал такого пиара CMS на PHP+MySQL, ведь это принципиально неправильная архитектура для CMS, пихать в СУБД всё подряд, а потом мучительно оптимизировать и кэшировать - это просто извращения и перверсия, по 10 раз сериализировать данные просто чтобы тупо отдать их через http - неужели вы такое поддерживаете, Михаил?
     
     
  • 5.49, Michael Shigorin (ok), 11:39, 03/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Сравнивают две CMS на PHP+[My]SQL, упомянул третью; Вы точно так же вправе назвать любой другой вариант, который считаете красивым и оптимальным, желательно по опыту. :)

    Мне TYPO3 была вполне симпатична как проект, когда занимался созданием и поддержкой сайтов около osdn.org.ua (да, можно делать статическую вёрстку или статическую генерацию и при слэшдот-эффекте ровно это и спасло; только поддерживать такое я не был готов даже в две руки).  Это было лет пятнадцать-десять назад.

    Сейчас предпочитаю с такими задачами обращаться к тогдашнему коллеге по участию в тех же переводах и исправлениях -- Валере Романчеву; его ttlab продолжил заниматься именно CMS и сайтостроением. (2 ыы: вот _теперь_ самое время подскакивать и повизгивать про пиар, а мы похлопаем :)

    И что характерно, CMS всё так же развивается и работает.

    Питоньи фреймворки и CMS "не зашли" (хотя это у меня, а тот же NauDoc представлял из себя "цельнодраный Plone", по словам cray@, который одно время тащил это всё в альте и перетаскивал на новые питоны).

    Java-вые -- тоже (особенно с учётом того, что довольно долго *.linux.kiev.ua, включая ftp, www и lists, крутились вообще на одном Duron 800/512М с аккуратно разведённой кучкой дисков и vserver/ovz); хотя контакты с ребятами, которые умеют готовить ту же Alfresco, где-то наверняка остались.

    PS re #24: а как у 1С с эльбрусами? (я-то знаю, как -- с Пухом вместе ещё "Ломоносова" строили, но раз набежали с козырей -- извольте)

     
     
  • 6.54, InuYasha (??), 14:08, 03/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Собирался ставить Друпал - он норм?
    Хотел всё это подружить в ЛДАПом, но как-то оказалось пока чересчур мудрёно
     
  • 4.24, Аноним (24), 15:57, 02/08/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Как typo3 с кассами и эквайрингом?
    У битрикса в комплекте идет.
    Интеграции с crm и учетными системами?
     
     
  • 5.30, Аноним (10), 17:34, 02/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >Интеграции с crm и учетными системами?

    Самое главное - с 1С. Если этого нет, то рассматривать нельзя.

     
  • 5.52, Аноним (51), 13:09, 03/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    С какими такими кассами? Typo3 - это международный проект, если что. С чего бы местечковая российская специфика там должна быть в комплекте?

    Плагины для всяких там Paypal-ов и всяких Zoho CRM конечно есть.

     
  • 3.62, Satori (ok), 21:20, 03/08/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Битрикс - это лучшее что доступно для разработки сайтов.

    Нет. Лучшее - это прямые руки и фреймворк. Пусть и на пыхе.

     
  • 2.17, пох. (?), 15:14, 02/08/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Кроме того Битрикс вообще как правило не нуждается в сторонних плагинах - всё нужное есть из
    > коробки.

    ага, вот например тут речь шла о плагине для более-менее полноценного форума, где видно кто кому отвечал и о чем.

    А что есть форум "из коробки" в битриксе, кроме дерьма на палочке? ОТОЖ. Причем форум не комментарий, и комментарий не форум - комментарии битрикса отдельны для каждого модуля (для некоторых их нет вообще) и каждый имеет свой нескучный интерфейс и убогую кастрированную функциональность, еще слабее чем их дерьмофорум.

    При этом скока-скока захочет не безнадежно косорукий битриксопейсатель про заек, чтобы это все хоть как-то похоже было на работающее?

     
     
  • 3.19, suffix (ok), 15:20, 02/08/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    1. Форум есть в Битриксе (функционал конечно так себе - Вы правы).

    2. Если хочется нормальный форум то платить придётся как в WP так и в Битриксе.

    3. Общий смысл моего поста Вы прекрасно поняли - если не пожалеть средств то из Битрикса можно сделать конфетку, а из WP никогда ибо суть его в сторонних плагинах.

     
     
  • 4.20, пох. (?), 15:28, 02/08/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Общий смысл моего поста Вы прекрасно поняли - если не пожалеть средств то из Битрикса можно
    > сделать конфетку

    ну дык дать деньгов wp-разработчику - тоже самое и будет. И может даже дешевле (хотя и неочевидно).
    Может даже какой waf хоть на базе mod_security тебе поставит (чему доверия все же поболее битриксового встроенного и на пехепе).
    А собирая из готовых модулей без ансамбля и не понимая как они работают - ну, получаешь что получаешь, затобесплатное.

     
     
  • 5.22, suffix (ok), 15:45, 02/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ну вот мы с Вами и сошлись во мнениях !

    Просто из "коробки" Битрикс:

    А) Для "обычной" работы сайта не требует плагинов
    Б) С включённым по умолчанию модулем "Проактивная защита" уже безопаснее чем WP.

    Разумеется спец может и там и там настроить грамотно. К примеру у меня Битрикс но Проактивная защита отключена и стоит mod_security, но повторюсь для "обычных" владельцев "обычных" сайтов Битрикс намного надёжнее чем WP что и подтверждает эта новость которую мы обсуждаем.

     
  • 2.41, istepan (ok), 07:44, 03/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    🤮

    Все кого знаю из пользователей Битрикса так же хотели "заплатить и забыть". В итоге через время все (именно все) жалели о потраченных деньгах.
    Половина наняла толкового разработчика или команду, и переписали свои сервисы на нормальных фреймворках. Остальные довольствовалась тем что получили, изредка доплачивая 100500 деревянных за мелкие доработки, тогда как при нормальной разработке на нормальных продуктах эти же правки стоили бы копейки и буквально минуты времени программистов и прочих верстальщиков (есть десятки примеров из личного опыта).

    Ах, да. Ещё разработка сайта на битриксе в студиях обойдется не дешевле, а то и дороже, и качество будет очень сомнительное. Так как в студиях часто нет компетентных разработчиков, ибо в Битриксом нормальные программисты не хотят связываться, а если связываются, то только за доплату 100500 тех же деревянных денег.

     
     
  • 3.43, suffix (ok), 08:05, 03/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Либо:

    1. Все ваши знакомые владеют проектами с посещаемостью сотни тысяч в день.

    2. Но скорее всего не умеют искать нормальных исполнителей / составлять нормальное ТЗ / жадные до расходов на программистов.

    Да, Битрикс надо уметь готовить. Но я же писал не об этом - Битрикс вот прямо из коробки без сторонних плагинов намного функциональное чем WP (тоже без сторонних плагинов) и соответственно и намного безопаснее - что данная новость и подтверждает!

     

  • 1.7, Аноним (9), 12:27, 02/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Хмм. Имел опыт в оптимизации плагина (разрабатывал его не я) для последующей публикации на wordpress.org, так их ревьюеры такую простыню по безопасности выкатили: и ввод чисть, и права на доступ к этому функционалу проверяй, и еще много чего другого. И все это через стандартный функционал вп. Проверяют же плагины, а все равно вп - решeто в плане безопасности.
     
  • 1.13, Аноним (13), 13:39, 02/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Зачем вообще пользовательские файлы смешивать с кодом сайта (код сайта пропускается через интерпретатор, а пользовательские данные вообще обрабатываться не должны, а должны просто отдаваться с минимальным оверхедом)?
     
     
  • 2.21, пох. (?), 15:30, 02/08/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Зачем вообще пользовательские файлы смешивать с кодом сайта

    для дерьмохостингов, у которых вообще все файлы - "код сайта".

    Отдельными настройками "тут играем, тут рыбу заворачивали" - никто париться не будет, все равно типовому юзеру не поможет.

     
     
  • 3.27, Аноним (13), 16:34, 02/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    .htaccess, не?
     
     
  • 4.29, пох. (?), 17:30, 02/08/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    полож на место имя моей аватарки!
     

  • 1.15, Анон1212 (?), 14:43, 02/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Никогда не было и вот опять
     
  • 1.32, Аноним (32), 20:06, 02/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    как в wordpress запретить показывать какие плагины используются?
     
     
  • 2.33, BlackRot (ok), 20:48, 02/08/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Никак.
     
     
  • 3.56, InuYasha (??), 14:33, 03/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    я правильно понимаю что там небинарные php-файлы, которые можно изменять по своему усмотрению? или там настолько анальная лицензия что за админом смотрит party van?
     
     
  • 4.63, BlackRot (ok), 22:16, 03/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Правильно понимаете. Всё открыто, можете редактировать что угодно на своё усмотрение.
     
  • 2.34, FlatFile CMS (?), 20:54, 02/08/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Не использовать wordpress?
     
     
  • 3.44, BlackRot (ok), 08:08, 03/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Или зашифровать вообще всё
     

  • 1.42, istepan (ok), 07:59, 03/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Хахаха, классика котссигаретой.джпг
     
     
  • 2.45, BlackRot (ok), 08:10, 03/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Это да. Сам движок если и появляется какая то уязвииость фиксится в считанные минуты, а вот плагины это отдельная история
     

  • 1.46, Аноним (46), 08:11, 03/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Жопаболь блоггеров?
     
  • 1.50, Аноним (50), 13:00, 03/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    "Уязвимость вызвана недоработкой в коде проверки загружаемых типов файлов, используемом для прикрепления изображений к комментариям."

    А кто-нибудь подскажет зачем таким файлам права на исполнение? ведь если он с 644, то интерпретатор его не должен выполнять вне зависимости от его содержимого.

     
     
  • 2.57, Аноним (38), 14:59, 03/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > если он с 644, то интерпретатор его не должен выполнять

    Это же пыхпых...

     
  • 2.61, Аноним (61), 20:23, 03/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > ведь если он с 644, то интерпретатор его не должен выполнять

    А это и не интерпретатор, это препроцессор гипертекста. Так что выполняет всё подряд.

     

  • 1.55, InuYasha (??), 14:14, 03/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    "Сколько лет служу, а <s>пароль</s>проблема не меняется"

    ЧСХ, быд..сообщество ПХП отвергло инициативу P++ год назад.

     
  • 1.58, Аноним (58), 15:17, 03/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Да сколько уже дыр в этих плагинах, теперь по каждому новость писать?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру