5件你需要知道的,WordPerss 6.2.1 安全及維護更新

Last Update at 2023 年 5 月 17 日
2 Likes
WordPress 6.2.1 安全及維護更新

懶人包:請檢查WordPress有沒有自動更新到6.2.1,如果沒有,我們建議儘讓快手動更新,以免網站出現安全問題。

2023年5月16日,WordPress核心團隊發布了WordPress 6.2.1,其中包含5個漏洞的更新包,包括一個目錄遍歷漏洞(Directory Traversal vulnerability)、一個跨站腳本漏洞(Cross-Site Scripting vulnerability)和多個低危漏洞。

自 4.1 以來,這些更新包已被反向移植到 WordPress 的每個版本。 自 WordPress 3.7 以來,WordPress 已經支持安全版本的自動核心更新,並且絕大多數 WordPress 站點應該會在接下來的 24 小時內自動收到其主要版本的 WordPress 的更新包。 我們建議檢查您的WordPress網站是否已自動更新到其中一個已修補版本。 自 4.1 以來,每個主要版本的 WordPress 都提供了修復版本,因此您可以在不含兼容性問題的情況下進行更新。

如果您的站點尚未自動更新,我們強烈建議您盡快手動更新,因為此版本中修補的漏洞之一可能會被具有較低權限級別帳戶,例如contributor用來接管網站。

Wordfence漏洞分析

以下則是Wordfence 威脅情報團隊詳細分析的代碼更改,以評估這些漏洞對WordPress網站的影響。

Description: WordPress Core <= 6.2 – Directory Traversal via wp_lang
Affected Versions: WordPress Core < 6.2.1
Researcher: Matt Rusnak, reported by Ramuel Gall as well as an undisclosed third party auditor
CVE ID: CVE-2023-2745
CVSS Score: 5.4 (Medium)
CVSS Vector: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:L/I:L/A:N
Fully Patched Version: 6.2.1

WordPress Core 在 6.2 及以下版本中通過“wp_lang”參數容易受到目錄遍歷的攻擊。 這允許未經身份驗證的攻擊者訪問及加載任意翻譯文件。 在攻擊者能夠將精心製作的翻譯文件上傳到站點的情況下,例如通過上傳表單,這也可用於執行跨站點腳本攻擊。 在大多數配置上都不容易以有影響力的方式利用此漏洞。

Description: WordPress Core <= 6.2 – Cross-Site Request Forgery via wp_ajax_set_attachment_thumbnail
Affected Versions: WordPress Core < 6.2.1
Researcher: John Blackbourn of the WordPress security team
CVE ID: Pending
CVSS Score: 4.3 (Medium)
CVSS Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N
Fully Patched Version: 6.2.1

WordPress Core 容易受到跨站點請求偽造的攻擊,因為在 6.2 及更高版本中缺少對“wp_ajax_set_attachment_thumbnail”AJAX 函數的隨機數驗證。 這允許未經身份驗證的用戶更新與現有附件關聯的縮略圖圖像,假設他們可以欺騙具有適當權限的經過身份驗證的用戶執行操作,例如單擊鏈接。 這個漏洞的影響雖然非常小,但我們亦不希望看到任何人利用這個漏洞。

Description: WordPress Core <= 6.2 – Authenticated (Contributor+) Stored Cross-Site Scripting via Embed Discovery Functionality
Affected Versions: WordPress Core < 6.2.1
Researcher: Jakub Żoczek of Securitum and undisclosed third-party auditor
CVE ID: Pending
CVSS Score: 6.4 (Medium)
CVSS Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
Fully Patched Version: 6.2.1

由於在處理 oEmbed 發現時響應中的協議驗證不足,WordPress Core 在 6.2 及更高版本中容易受到存儲的跨站點腳本攻擊。 這使得具有貢獻者級別和更高權限的經過身份驗證的攻擊者可以在遠程 URL 處使用精心設計的 oEmbed 有效負載在頁面中註入任意 Web 腳本,只要用戶訪問注入的頁面,這些腳本就會執行。

Description: WordPress Core <= 6.2 – Insufficient Sanitization of Block Attributes
Affected Versions: WordPress Core < 6.2.1
Researcher: Undisclosed third-party auditor
CVE ID: Pending
CVSS Score: 6.4 (Medium)
CVSS Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
Fully Patched Version: 6.2.1

WordPress Core 未能充分清理 6.2 及之前版本中的塊屬性(block attributes)。 這使得具有contributor級別和更高權限的經過身份驗證的攻擊者可以在頁面上的 HTML 註釋中嵌入任意內容,儘管跨站點腳本與其他漏洞結合使用時可能成為可能。 請注意,這只會影響使用塊編輯器兼容主題的站點。

Description: WordPress Core <= 6.2 – Shortcode Execution in User Generated Content
Affected Versions: WordPress Core < 6.2.1
Researcher: Liam Gladdy of WP Engine
CVE ID: Pending
CVSS Score: 6.5 (Medium)
CVSS Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N
Fully Patched Version: 6.2.1

WordPress Core 在 6.2 及更高版本的塊主題(block theme)上處理用戶生成的內容中的短代碼(short code)。 這可能將會允許未經身份驗證的攻擊者通過提交評論或其他內容來執行短代碼,從而允許他們利用通常需要訂閱者(Subscriber)或貢獻者(Contributor)級別權限的漏洞。 雖然這本身可能影響很小,但它會顯著增加其他漏洞的嚴重性和可利用性。

結論

在今天的文章中,我們介紹了 WordPress 6.2.1 安全及維護版本中修補的五個漏洞。 最活躍使用的 WordPress 網站應在接下來的 24 小時內通過自動更新進行修補。

Wordfence 防火牆的內置目錄遍歷保護應該可以阻止利用目錄遍歷漏洞的嘗試,而且它通常只有在某些配置下被熟練的攻擊者利用時才會產生影響。 今天修復的大多數其他問題都是相似的,因為它們需要特定的配置或環境,例如其他易受攻擊的插件,才能有效利用。

但是,我們建議所有網站所有者盡快驗證 WordPress 是否已更新,因為部署防火牆規則來防止 oEmbed 問題是不切實際的,因此任何擁有不受信任的貢獻者級用戶的網站都可能面臨風險。

一如既往,如果您的站點尚未自動更新,我們強烈建議您將其更新為 WordPress 的補丁版本。 只要您運行的 WordPress 版本高於 4.1,就可以通過更新來修補這些漏洞,同時讓您保持在同一主要版本上,因此您無需擔心兼容性問題。

原文經輯錄及翻譯,原文由 Wordfence 提供

If you find this article helpful, please like it and share it on social media to let more people know about it!