Categories
Boletin de Seguridad

Botelín de Seguridad: WordPress MU < 2.6 wpmu-blogs.php Cross Site Scripting vulnerability

Hola,

WordPress-MU, es la versión multi usuario de WordPress, permite ejecutar ilimitadas instancias de blogs con una única instalación de wordpress. Su uso está muy extendido, algunos ejemplos son WordPress.com (índice 28 en Alexa) o en universidades como Harvard.

Este post tenía que haber visto la luz hace tiempo (por septiembre), pero se ha demorado hasta ahora.
El 6 de agosto, publiqué un llamamiento a la actualización para WordPress MU < 2.6 debido a un bug encontrado que hacía posible el robo de credenciales.

Todo empezó el 14 de Mayo, cuando debido a mi trabajo, empezamos a trabajar con WordPress MU, lo genial que tiene el código abierto es que tu mismo puedes auditar el código que va a correr sobre tus máquinas, siendo esto esencial. Ese mismo día, realizando unas pruebas a la plataforma encontré un bug XSS (Cross Site Scripting) en el panel de adminstración que permite a un atacante robar las cookies al Administrador del sitio y (tenga o no tenga usuario en el sistema) convertirse automágicamente en Adminsitrador Global del Sitio.

Ese mismo día el error fue notificado al equipo de desarrollo de WordPress MU, me sincronizé con ellos para parchear el código en la rama trunk, después de un par de intentos (en el primero se les quedo un cabo suelto ;)) por fin, sólo dos días después (el 16 de mayo) conseguimos solventar completamente el problema. Más tarde veía la luz la esperada versión 2.6 que incluía esta serie de parches. La solución pasa por instalar cualquier versión superior o igual a la 2.6, tan sólo hace dos días anunciaban el lanzamiento de la versión 2.6.5

Quiero agradecer al equipo de desarrollo, en especial al desarrollador principal Donncha por su cooperación y también por añadirme en los créditos. Gracias!

Del mismo modo los administradores de esta red en la Universidad de Alicante también fueron notificados lo antes posible sobre el error, y proporcioné los parches que eran necesarios.

El boletín de seguridad ha sido publicado en los sitios web y listas con más renombre a nivel internacional y las bases de datos de vulnerabilidades más relevantes sobre seguridad informática:


CVE ID: 2008-4671 Common Vulnerabilities and Exposures

NVD, National Vulnerability Database del NIST (US-CERT)
Bugtraq ID, SecurityFocus
Secunia Advisory ID
OSVDB, Open Source Vulnerability Database
Full-disclosure

Podeis leer el Advisory entero aquí mismo:

– Security Advisory –

– – WordPress MU < 2.6 wpmu-blogs.php Cross Site Scripting vulnerability –
– ———————————————————————–

Product: WordPress-MU (multi-user)
Version: Versions prior to 2.6 are affected
Url: http://mu.wordpress.org
Affected by: Coss Site Scripting Attack

I. Introduction.

WordPress-MU, or multi-user, allows to run unlimited blogs with a
single install of wordpress. It’s widely used, some examples are
WordPress.com or universities like Harvard

II. Description and Impact

WordPress-MU is affected by a Cross Site Scripting vulnerability, an
attacker can perform an XSS attack that allows him to access the
targeted user cookies to gain administrator privileges

In /wp-admin/wpmu-blogs.php an attacker can inject javascript code,
the input variables “s” and “ip_address” of GET method aren’t properly
sanitized

Here is a poc:

PoC: http://site/path/wp-admin/wpmu-blogs.php?action=blogs&s=%27[XSS]
PoC:
http://site/path/wp-admin/wpmu-blogs.php?action=blogs&ip_address=%27[XSS]

The impact is the attacker can gain administrator privileges on the
application.

III. Timeline

May 14th, 2008 – Bug discovered
May 14th, 2008 – Vendor contacted and the start of a syncronized
code patching
May 16th, 2008 – MU trunk code fixed
July 28th, 2008 – WPMU 2.6 released
September 2nd, 2008 – WPMU 2.6.1 released
September 29th, 2008 – Security advisory released

IV. Solution

Upgrade to version 2.6 or upper of wordpress multi-user. It can be
downloaded from http://mu.wordpress.org

V. Credits

Juan Galiana Lara
https://blogs.ua.es/jgaliana