Здравствуйте 3APA3A!
Сообщаю вам о найденной мною Cross-Site Scripting уязвимости в WordPress. Которую я нашёл ещё 15.10.2008 и к которой уязвимы все версии WordPress.
В WordPress имеет место Cross-Site Scripting уязвимость, в данном случае Strictly social XSS (http://websecurity.com.ua/5469/, на английском http://websecurity.com.ua/5476/). Причём сразу двух типов этого класса XSS: Strictly social XSS persistent (ссылка с JavaScript/VBScript) и Strictly social XSS persistent self-contained (ссылка с data с JavaScript). Это хороший пример этих двух разновидностей Strictly social XSS уязвимостей.
XSS (WASC-08):
В поле комментария (параметр comment):
<a href="javascript:alert(document.cookie)">test</a>
<a href="vbscript:MsgBox(document.cookie)">test</a>
<a href="data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ+">test</a>
Атака сработает лишь, если комментарий опубликовал админ, а не незалогиненый пользователь. Для чего можно использовать CSRF уязвимость в WordPress <= 2.1.2 (http://securityvulns.ru/Qdocument260.html). В описании данной уязвимость ciri рассказал о persistent XSS (что работала вместе с CSRF), а я веду речь о Strictly social XSS. В новых версиях WP, где присутствует защита от CSRF, можно использовать reflected XSS дыру (или же использовать другие техники разработанные мною) для обхода этой защиты и публикации комментария с атакующим кодом.
В WordPress 2.0.10 и 2.1.3 разработчики уже исправили CSRF, но возможность проведения Strictly social XSS (через anchor тэг) все ещё осталась даже в последней версии WP. Разработчики не стали убирать этот функционал админа, для полного исправления XSS, ограничившись исправлением CSRF. Поэтому как вышеупомянутая persistent XSS, так и найденная мною Strictly social XSS все ещё работают.
Уязвимы все версии WordPress - WP 3.2.1 и предыдущие версии. Тестировал в разных 2.0.x версиях, включительно с 2.0.11, и в 3.1.1.
Дополнительная информация о данной уязвимости у меня на сайте:
http://websecurity.com.ua/5481/
Best wishes & regards,
MustLive
Администратор сайта
http://websecurity.com.ua