В CMS WordPress исправили XSS-уязвимость

Брешь приводила к неточностям в ходе проверки безопасности HTML-тегов в поле комментариев, что разрешало совершить XSS-атаку. День назад, 20 ноября 2014 года, разработчики популярного CMS WordPress выпустили обновление 4.0.1, о чем сообщается в официальном блоге компании.

Кроме другого, апгрейд исправляет критическую XSS-уязвимость, разрешающую преступникам получить доступ к ресурсу под управлением этой платформы. 

Неприятность заключалась в том, что WordPress разрешает оформлять комментарии посредством последовательности HTML-тегов. Разработчики CMS постарались ввести защитные меры, ограничив количество разрешенных для применения тегов и введя дополнительные испытания HTML-кода в комментариях на наличие небезопасных элементов. В некоторых случаях эти проверки не срабатывали, а браузер делал разбор некорректного HTML-кода. Это разрешало засунуть вредоносную нужную нагрузку в поле комментариев, совершив так XSS-атаку на уязвимый сайт.

Одним из ответов для предотвращения аналогичных обстановок могло быть применение стандартной библиотеки наподобие HTML Purifier. Многие разработчики отказываются от ее применения, предпочитая более легковесные альтернативы. Однако, HTML Purifier предоставляет множество встроенных средств безопасности: он нормализует HTML-код и уничтожает некорректные элементы, и вдобавок предоставляет эластичный файл конфигурации. Ответ, применяемое в вордпрессе, вместо этого надеется на систематические выражения, которые не всегда могут обеспечить достаточный уровень безопасности.