{"id":202,"date":"2008-11-27T10:56:18","date_gmt":"2008-11-27T08:56:18","guid":{"rendered":"https:\/\/blogs.ua.es\/jgaliana\/?p=202"},"modified":"2008-11-27T18:52:10","modified_gmt":"2008-11-27T16:52:10","slug":"botelin-de-seguridad-wordpress-mu-26-wpmu-blogsphp-cross-site-scripting-vulnerability","status":"publish","type":"post","link":"https:\/\/blogs.ua.es\/jgaliana\/2008\/11\/27\/botelin-de-seguridad-wordpress-mu-26-wpmu-blogsphp-cross-site-scripting-vulnerability\/","title":{"rendered":"Botel\u00edn de Seguridad: WordPress MU < 2.6 wpmu-blogs.php Cross Site Scripting vulnerability"},"content":{"rendered":"

Hola,<\/p>\n

WordPress-MU, es la versi\u00f3n multi usuario de WordPress, permite ejecutar ilimitadas instancias de blogs con una \u00fanica instalaci\u00f3n de wordpress. Su uso est\u00e1 muy extendido, algunos ejemplos son WordPress.com (\u00edndice 28 en Alexa) o en universidades como Harvard.<\/p>\n

Este post ten\u00eda que haber visto la luz hace tiempo (por septiembre), pero se ha demorado hasta ahora.
\nEl 6 de agosto, publiqu\u00e9 un llamamiento a la actualizaci\u00f3n para WordPress MU < 2.6<\/a> debido a un bug encontrado que hac\u00eda posible el robo de credenciales.<\/p>\n

Todo empez\u00f3 el 14 de Mayo, cuando debido a mi trabajo, empezamos a trabajar con WordPress MU, lo genial que tiene el c\u00f3digo abierto es que tu mismo puedes auditar el c\u00f3digo que va a correr sobre tus m\u00e1quinas, siendo esto esencial. Ese mismo d\u00eda, realizando unas pruebas a la plataforma encontr\u00e9 un bug XSS (Cross Site Scripting) en el panel de adminstraci\u00f3n que permite a un atacante robar las cookies al Administrador del sitio y (tenga o no tenga usuario en el sistema) convertirse autom\u00e1gicamente<\/em> en Adminsitrador Global del Sitio.<\/p>\n

Ese mismo d\u00eda el error fue notificado al equipo de desarrollo de WordPress MU, me sincroniz\u00e9 con ellos para parchear el c\u00f3digo en la rama trunk, despu\u00e9s de un par de intentos (en el primero se les quedo un cabo suelto ;)) por fin, s\u00f3lo dos d\u00edas despu\u00e9s (el 16 de mayo) conseguimos solventar completamente el problema. M\u00e1s tarde ve\u00eda la luz la esperada versi\u00f3n 2.6 que inclu\u00eda esta serie de parches. La soluci\u00f3n pasa por instalar cualquier versi\u00f3n superior o igual a la 2.6, tan s\u00f3lo hace dos d\u00edas anunciaban el lanzamiento de la versi\u00f3n 2.6.5<\/p>\n

Quiero agradecer al equipo de desarrollo, en especial al desarrollador principal Donncha<\/a> por su cooperaci\u00f3n y tambi\u00e9n por a\u00f1adirme en los cr\u00e9ditos<\/a>. Gracias!<\/p>\n

Del mismo modo los administradores de esta red en la Universidad de Alicante tambi\u00e9n fueron notificados lo antes posible sobre el error, y proporcion\u00e9 los parches que eran necesarios.
\n
\nEl bolet\u00edn de seguridad ha sido publicado en los sitios web y listas con m\u00e1s renombre a nivel internacional y las bases de datos de vulnerabilidades m\u00e1s relevantes sobre seguridad inform\u00e1tica:<\/strong>
\n
\nCVE ID: 2008-4671 Common Vulnerabilities and Exposures <\/a>
\nNVD, National Vulnerability Database del NIST (US-CERT)<\/a>
\nBugtraq ID, SecurityFocus<\/a>
\nSecunia Advisory ID<\/a>
\nOSVDB, Open Source Vulnerability Database<\/a>
\nFull-disclosure<\/a><\/strong><\/p>\n

Podeis leer el Advisory entero aqu\u00ed mismo:<\/p>\n

– Security Advisory –<\/p>\n

– – WordPress MU < 2.6 wpmu-blogs.php Cross Site Scripting vulnerability –
\n– ———————————————————————–<\/p>\n

Product: WordPress-MU (multi-user)
\nVersion: Versions prior to 2.6 are affected
\nUrl: http:\/\/mu.wordpress.org
\nAffected by: Coss Site Scripting Attack<\/p>\n

I. Introduction.<\/p>\n

WordPress-MU, or multi-user, allows to run unlimited blogs with a
\nsingle install of wordpress. It’s widely used, some examples are
\nWordPress.com or universities like Harvard<\/p>\n

II. Description and Impact<\/p>\n

WordPress-MU is affected by a Cross Site Scripting vulnerability, an
\nattacker can perform an XSS attack that allows him to access the
\ntargeted user cookies to gain administrator privileges<\/p>\n

In \/wp-admin\/wpmu-blogs.php an attacker can inject javascript code,
\nthe input variables “s” and “ip_address” of GET method aren’t properly
\nsanitized <\/p>\n

Here is a poc:<\/p>\n

PoC: http:\/\/site\/path\/wp-admin\/wpmu-blogs.php?action=blogs&s=%27[XSS]
\nPoC:
\nhttp:\/\/site\/path\/wp-admin\/wpmu-blogs.php?action=blogs&ip_address=%27[XSS]<\/p>\n

The impact is the attacker can gain administrator privileges on the
\napplication.<\/p>\n

III. Timeline<\/p>\n

May 14th, 2008 – Bug discovered
\nMay 14th, 2008 – Vendor contacted and the start of a syncronized
\ncode patching
\nMay 16th, 2008 – MU trunk code fixed
\nJuly 28th, 2008 – WPMU 2.6 released
\nSeptember 2nd, 2008 – WPMU 2.6.1 released
\nSeptember 29th, 2008 – Security advisory released<\/p>\n

IV. Solution<\/p>\n

Upgrade to version 2.6 or upper of wordpress multi-user. It can be
\ndownloaded from http:\/\/mu.wordpress.org<\/p>\n

V. Credits<\/p>\n

Juan Galiana Lara
\nhttps:\/\/blogs.ua.es\/jgaliana<\/p>\n","protected":false},"excerpt":{"rendered":"

Hola, WordPress-MU, es la versi\u00f3n multi usuario de WordPress, permite ejecutar ilimitadas instancias de blogs con una \u00fanica instalaci\u00f3n de wordpress. Su uso est\u00e1 muy extendido, algunos ejemplos son WordPress.com (\u00edndice 28 en Alexa) o en universidades como Harvard. Este post ten\u00eda que haber visto la luz hace tiempo (por septiembre), pero se ha demorado […]<\/p>\n","protected":false},"author":139,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[609],"tags":[3700,841,1708,3699],"class_list":["post-202","post","type-post","status-publish","format-standard","hentry","category-boletin-de-seguridad","tag-cross-site-scripting","tag-php","tag-wordpress-mu","tag-xss"],"_links":{"self":[{"href":"https:\/\/blogs.ua.es\/jgaliana\/wp-json\/wp\/v2\/posts\/202","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blogs.ua.es\/jgaliana\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blogs.ua.es\/jgaliana\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blogs.ua.es\/jgaliana\/wp-json\/wp\/v2\/users\/139"}],"replies":[{"embeddable":true,"href":"https:\/\/blogs.ua.es\/jgaliana\/wp-json\/wp\/v2\/comments?post=202"}],"version-history":[{"count":13,"href":"https:\/\/blogs.ua.es\/jgaliana\/wp-json\/wp\/v2\/posts\/202\/revisions"}],"predecessor-version":[{"id":216,"href":"https:\/\/blogs.ua.es\/jgaliana\/wp-json\/wp\/v2\/posts\/202\/revisions\/216"}],"wp:attachment":[{"href":"https:\/\/blogs.ua.es\/jgaliana\/wp-json\/wp\/v2\/media?parent=202"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blogs.ua.es\/jgaliana\/wp-json\/wp\/v2\/categories?post=202"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blogs.ua.es\/jgaliana\/wp-json\/wp\/v2\/tags?post=202"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}