وردپرس باگ های CSRF و XSS را حل و برنامه جایزه برای یافتن باگ را نیز اعلام کرد
وردپرس وبمستر ها را تشویق می کند که هرچه زودتر به آخرین نسخه سیستم مدیریت محتوی وردپرس آپدیت کنند تا چندین مشکل از جمله مشکلات اسکریپت نویسی بین سایتی (XSS) و ساخت درخواست بین ساتی (CSRF) که تقریبا ۱۰ ماهی است که جزو باگ های وردپرس هستند را برطرف کنند.گویا آی تی: آخرین نسخه این نرم افزار که ۴٫۷٫۵ است در سه شنبه، ۱۶ ماه می سال جاری عرضه شد. اگر کاربران آپدیت پیش زمینه خودکار را برای سایت هایشان فعال کرده اند احتمالا در حال حاضر آپدیت شده اند. وبمستر هایی که این قابلیت را به صورت فعال ندارد می توانند به Dashboard و سپس بخش Updates بروند و این کار را انجام دهند.
نسخه های پیشین وردپرس همچنان از اسیب پذیری های موجود رنج می برند تا به نسخه جدید آپدیت شوند.
این آپدیت به طور کلی شش مشکل را حل می کند، از جمله دو باگ که به وسیله توسعه دهنده دانمارکی، رونی کنسینگ شناسایی شده بودند. او متوجه شد که در کلاس ,HTTP redirect validation کافی وجود ندارد و وقتی که قصد داشت یک فایل حجیم را آپلود کند دو تا از باگ های XSS را شناسایی کرد. کنسینگ در ماه ژانیه در وردپرس یک اسیب پذیری CSRF را شناسایی کرد و همچنین سال گذشته در نسخه ۴٫۴٫۱ وردپرس هم توانست اسیب پذیری SSRF را شناسایی و گزارش کند.
اسیب پذیری در CSRF که در نسخه ۴٫۷٫۵ حل شده بود در دیالوگ باکس اعتبارنامه (Credential) های فایل های سیستمی وردپرس همچنان وجود داشت. یوریک کاستر، محقق امنیتی هلندتی که این باگ را شناسایی کرده بود در ماه مارچ به Threatpost اعلام کرده بود که این اسیب پذیری امنیتی تنها با تنظیمات خاصی نمایان می شود اما نهایتا امکان داشت به مهاجم اجازه دهد تا اعتبارنامه های FTP یا SSH (SFTP) را به سرقت ببرد.
مدت ها است که راه حلی برای این مشکل در دست تدوین است. باگ ۱۰ ماه پیش در جولای سال ۲۰۱۶ حین رویداد Summer of Pwnage، که یک کمپین باگ یابی است که از سوی شرکت Securify (شرکت امنیتی هلندی که کاستر در تاسیس آن نقش داشت) اسپانسر شده بود شناسایی شد.
این باگ و دیگر باگ هایی که در این رویداد شناسایی شدند احتمالا در شلوغی این مسائل به فراموشی سپرده شدند.
وقتی که کاستر در پایان ماه ژانویه موضوع را با وردپرس در میان گذاشت حرفی از تاریخ برای ارائه راه حل آن زده نشد. آرون دی. کمپبل، رئیس تیم امنیتی در وردپرس در ماه ژانویه به Threatpost اعلام کرد که وی باگ هایی که کاستر شناسایی کرده است به به استحضار نیم امنیتی می رساند و سعی خواهد کرد که کار ها را هرچه سریع تر شروع کند.
اسیب پذیری هایی که کاستر شناسایی کرده بود، اسیب پذیری CSRF که باعث رد خدمات (denial of service) می شد و یک باگ XSS هر دو در آپدیت ۴٫۷٫۳ که در ماه مارچ منتشر شد برطرف شدند اما مشکل CSRF همچنان در وردپرس باقی ماند.
این اسیب پذیری از این حقیقت سر منشا دارد که کارکرد فرم FTP/SSH وردپرس نسبت به CSRF آسیب پذیر بوده است که به مهاجم این اجازه را می داد تا بتواند تنظیمات برخی وبسایت ها را تغییر داده و مدیر سایت را به لو دادن اطلاعات لاگین کردن در وبسایت فریب دهد.
کاستر در خصوص شناسایی باگ نوشت “برای استفاده از این آسیب پذیری، مهاجم می بایست یک ادمین که در وردپرس ثبت نام کرده است را به بازکردن یک وبسایت مخرب کشانده و یا مجبور کند.”
آپدیت ۴٫۷٫۵ همچنین به دو مشکل در خصوص XML-RPC API که پروتکل فرایند فراخوان از راه دور (RPC) است و از XML برای کد گذاری فراخوانی ها استفاده کی کند نیز پایان داد. API نیز به خوبی معیار های داده های متا مطالب را کنترل نمی کرد و توانایی چک کردن داده های متا مطالب را نداشت.
آپدیت یک روز پس از اعلامیه وردپرس در مورد برنامه شکار باگ در HackerOne منتشر شد. کمپبل اعلام کرد که با blogspot وارد همکاری شده است و طبق گفته های وی این برنامه یک سال است که به صورت خصوصی در حال فعالیت است و در حالی که همیشه قصد بر این بود که عمومی شود اما این کار آسان نبوده است.
کمپبل به HackerOne در پرسش و پاسخی که روز سه شنبه انجام شد گفت “از همان ابتدا، نقشه ما عمومی کردن برنامه بود. هدف برنامه خصوصی این بود که به تیم امنیتی وردپرس مهلت بدهیم تا سیستم را دست بگیرند و پروسه هایی را حول آن توسعه بدهند.”
او افزود که “حتی با این آماده سازی هم عرضه عمومی برنامه حتک حرمت محسوب می شد. همانطور که انتظار می رفت افزایش میزان گزارشات شدید بود ولی تیم ما واقعا نیازی نداشت که پیش از عرض عمومی برنامه گزارشی اشتباه را پردازش کند.”
کمپبل اعلام کرد که وردپرس تا به حال ۳،۷۰۰ دلار جایزه به افرادی که باگ گزارش کرده اند داده است. این برنامه خود وردپرس و سایت های حایشه ای وردپرس نظیر WordPress، BuddyPress، bbPress، GlotPress و WP-CLI را شامل می شود.