Pesquisador torna público hack por bypass do WordPress CSP

2.6.22

 Um pesquisador de segurança descobriu uma técnica interessante, embora parcialmente desenvolvida, para contornar os controles CSP (Content Security Policy) usando o WordPress .



O hack, descoberto pelo pesquisador de segurança Paulos Yibelo , baseia-se em abusar da execução do mesmo método de origem.


Essa técnica usa preenchimento JSON para chamar uma função. Esse é o tipo de coisa que pode permitir o comprometimento de uma conta do WordPress, mas apenas com a adição de um exploit de cross-site scripting (XSS), que o pesquisador ainda não possui.


Yibelo disse ao The Daily Swig que eles não foram tão longe a ponto de tentar o truque em sites ativos, restringindo as explorações a um site de pesquisa de teste que eles próprios possuíam.

“Eu realmente não tentei porque requer um usuário ou administrador do WordPress logado para visitar meu site, então eu instalo o plugin e tenho uma injeção de HTML – o que é ilegal”, explicou Yibelo, acrescentando que eles não tentaram explorar o bug em sites de recompensas de bugs também.

O pesquisador acrescentou que eles relataram isso ao WordPress há três meses via HackerOne. Depois de não obter uma resposta, Yibelo veio a público com as descobertas por meio de um post técnico no blog .

Fim de jogo

Os ataques são potencialmente possíveis em dois cenários: 1) sites que não usam o WordPress diretamente, mas têm um endpoint do WordPress no mesmo domínio ou subdomínio e 2) um site hospedado no WordPress com um cabeçalho CSP.

O impacto potencial é grave, como explica a postagem do blog de Yibelo:

Se um invasor encontrar uma vulnerabilidade de injeção de HTML no domínio principal (ex: website1.com – não WordPress) usando essa vulnerabilidade, ele poderá usar um endpoint do WordPress para atualizar uma injeção de HTML inútil para um XSS completo que pode ser escalado para executar [ execução de código remoto ] RCE. Isso significa que ter o WordPress em qualquer lugar do site anula o propósito de ter um CSP seguro.

O Daily Swig convidou a equipe principal de desenvolvimento do WordPress para comentar sobre a pesquisa . Nenhuma palavra de volta, ainda, mas atualizaremos esta história à medida que ouvirmos mais.

Yibelo concluiu: “Espero que o Wordpress corrija isso para que o CSP permaneça relevante em sites que hospedam um endpoint WordPress”.

A Política de Segurança de Conteúdo é uma tecnologia definida por sites e usada por navegadores que podem bloquear recursos externos e impedir ataques XSS.

0 Comentários

Que conselho você daria a um usuário Linux iniciante?

O ZDNet publicou um novo artigo esta semana com suas próprias dicas para novos usuários do Linux . Ele começa argumentando que mudar para o desktop Linux "é mais fácil do que você pensa" e "você encontrará ajuda em todos os lugares". (E também que "Você não vai querer apps.") Isso não significa que ele tenha tudo. Por exemplo, não há uma versão do Adobe Photoshop. Há o GIMP (que é tão poderoso quanto o Photoshop), mas para aqueles acostumados ao padrão de fato da Adobe, vocês estão sem sorte. O pior cenário é que você tem que aprender um novo software para atender às suas necessidades gráficas. Ao mesmo tempo, você pode ter que recorrer a um software proprietário. Para puristas de código aberto, isso é um não. Mas para aqueles que só precisam fazer as coisas, você descobrirá que uma mistura de software de código aberto e proprietário lhe dará tudo o que você precisa para ser produtivo e entretido. O artigo também recomenda que novos usuários "eliminem