WordPress 4.2 Stored XSS

Geschrieben von kingalca am 28. April 2015
Dieser Post ist über ein Jahr alt. Eventuell haben sich die Details mittlerweile geändert, oder Links sind nicht mehr verfügbar.

WordPress 4.2 Stored XSS

Heute früh wurde ich auf einen Blogpost von Klikki.fi aufmerksam gemacht, bei dem es um eine XSS Lücke in den aktuellen WordPress-Versionen geht.

Ganz speziell handelt es sich dabei um eine XSS Lücke, die die Kommentarfunktion angreift, wenn man ein zu langes Kommentar schreibt. Das PoC sieht folgendermaßen aus:
<a title='x onmouseover=alert(unescape(/hello%20world/.source)) style=position:absolute;left:0;top:0;width:5000px;height:5000px AAAAAAAAAAAA...[64 kb]..AAA'></a>

Es gibt auch ein Video dazu, wie das ganze aussieht:

Von der Lücke betroffen sind mindestens 3 Versionen, die neuste (4.2.1) enthält jedoch bereits einen Patch. Darunter sind die Seiten momentan angreifbar, d.h. 4.2, 4.1.2 sowie 3.9.3 stehen auf der Liste der attackierbaren Versionen.

Das WordPress Sec Team hat sich aktuell noch nicht groß dazu geäußert, die Tatsache dass es aber einen Patch gibt spricht schon mal für sich. Die Lücke ist seit November ’14 im Core-Code.

Wer nicht updaten kann oder will, der soll die Kommentarfunktion in seinen Blogs deaktivieren oder mindestens so restriktiv setzen, dass jeder Kommentar erst mal moderiert werden muss. In letzterem Fall empfehle ich sich immer den „Text“ (nicht nur den visuellen Teil) anzusehen.