Thursday 27 November 2008

Botelín de Seguridad: WordPress MU < 2.6 wpmu-blogs.php Cross Site Scripting vulnerability

Hola,

Wordpress-MU, es la versión multi usuario de Wordpress, permite ejecutar ilimitadas instancias de blogs con una única instalación de wordpress. Su uso está muy extendido, algunos ejemplos son Wordpress.com (índice 28 en Alexa) o en universidades como Harvard.

Este post tenía que haber visto la luz hace tiempo (por septiembre), pero se ha demorado hasta ahora.
El 6 de agosto, publiqué un llamamiento a la actualización para Wordpress MU < 2.6 debido a un bug encontrado que hacía posible el robo de credenciales.

Todo empezó el 14 de Mayo, cuando debido a mi trabajo, empezamos a trabajar con Wordpress MU, lo genial que tiene el código abierto es que tu mismo puedes auditar el código que va a correr sobre tus máquinas, siendo esto esencial. Ese mismo día, realizando unas pruebas a la plataforma encontré un bug XSS (Cross Site Scripting) en el panel de adminstración que permite a un atacante robar las cookies al Administrador del sitio y (tenga o no tenga usuario en el sistema) convertirse automágicamente en Adminsitrador Global del Sitio.

Ese mismo día el error fue notificado al equipo de desarrollo de Wordpress MU, me sincronizé con ellos para parchear el código en la rama trunk, después de un par de intentos (en el primero se les quedo un cabo suelto ;)) por fin, sólo dos días después (el 16 de mayo) conseguimos solventar completamente el problema. Más tarde veía la luz la esperada versión 2.6 que incluía esta serie de parches. La solución pasa por instalar cualquier versión superior o igual a la 2.6, tan sólo hace dos días anunciaban el lanzamiento de la versión 2.6.5

Quiero agradecer al equipo de desarrollo, en especial al desarrollador principal Donncha por su cooperación y también por añadirme en los créditos. Gracias!

Del mismo modo los administradores de esta red en la Universidad de Alicante también fueron notificados lo antes posible sobre el error, y proporcioné los parches que eran necesarios.

El boletín de seguridad ha sido publicado en los sitios web y listas con más renombre a nivel internacional y las bases de datos de vulnerabilidades más relevantes sobre seguridad informática:


CVE ID: 2008-4671 Common Vulnerabilities and Exposures

NVD, National Vulnerability Database del NIST (US-CERT)
Bugtraq ID, SecurityFocus
Secunia Advisory ID
OSVDB, Open Source Vulnerability Database
Full-disclosure







Podeis leer el Advisory entero aquí mismo:



- Security Advisory -

- - WordPress MU < 2.6 wpmu-blogs.php Cross Site Scripting vulnerability -
- -----------------------------------------------------------------------


Product: Wordpress-MU (multi-user)
Version: Versions prior to 2.6 are affected
Url: http://mu.wordpress.org
Affected by: Coss Site Scripting Attack


I. Introduction.

Wordpress-MU, or multi-user, allows to run unlimited blogs with a
single install of wordpress. It's widely used, some examples are
WordPress.com or universities like Harvard


II. Description and Impact

Wordpress-MU is affected by a Cross Site Scripting vulnerability, an
attacker can perform an XSS attack that allows him to access the
targeted user cookies to gain administrator privileges

In /wp-admin/wpmu-blogs.php an attacker can inject javascript code,
the input variables "s" and "ip_address" of GET method aren't properly
sanitized


Here is a poc:

PoC: http://site/path/wp-admin/wpmu-blogs.php?action=blogs&s=%27[XSS]
PoC:
http://site/path/wp-admin/wpmu-blogs.php?action=blogs&ip_address=%27[XSS]


The impact is the attacker can gain administrator privileges on the
application.


III. Timeline

May 14th, 2008 - Bug discovered
May 14th, 2008 - Vendor contacted and the start of a syncronized
code patching
May 16th, 2008 - MU trunk code fixed
July 28th, 2008 - WPMU 2.6 released
September 2nd, 2008 - WPMU 2.6.1 released
September 29th, 2008 - Security advisory released


IV. Solution

Upgrade to version 2.6 or upper of wordpress multi-user. It can be
downloaded from http://mu.wordpress.org


V. Credits

Juan Galiana Lara
http://blogs.ua.es/jgaliana

12 comments:

  1. algún día te pediré un autógrafo jejeej

    ReplyDelete
  2. Gracias por el post. Teniamos necesidad de ofrecer varias instancias de blogs con una única instalación de wordpress, y nos has sacado de dudas.

    ReplyDelete
  3. Nice post. Thanks for sharing. You can watch live steraming soccer tv in my blog. Thanks, viagra uk online viagra uk, [url="http://www.rassheehama.com/QQYpZiWbrLstd.html"]viagra uk online viagra uk[/url], http://www.rassheehama.com/QQYpZiWbrLstd.html viagra uk online viagra uk, 7931, adult singles dating rossie iowa, [url="http://www.ugsitalia.it/aVouvKsjEEUSr.html"]adult singles dating rossie iowa[/url], http://www.ugsitalia.it/aVouvKsjEEUSr.html adult singles dating rossie iowa, 8656, hentai futa image gallery, [url="http://www.paulistacenterhotel.com.br/hBAtjUcjqLdFl.html"]hentai futa image gallery[/url], http://www.paulistacenterhotel.com.br/hBAtjUcjqLdFl.html hentai futa image gallery, 8[[[, fucked by force hentai, [url="http://www.langlance.com/EWIMrKSSwJBTM.html"]fucked by force hentai[/url], http://www.langlance.com/EWIMrKSSwJBTM.html fucked by force hentai, lbd, hentai adult comics manga, [url="http://www.darkspiregames.com/etyWkqdHscKxn.html"]hentai adult comics manga[/url], http://www.darkspiregames.com/etyWkqdHscKxn.html hentai adult comics manga, 566, cartoonfamily hentai, [url="http://www.fleeb.com/RHySyYriUkbBA.html"]cartoonfamily hentai[/url], http://www.fleeb.com/RHySyYriUkbBA.html cartoonfamily hentai, 2657, gay furry dating, [url="http://www.churchdrama.org/PqMRbdbkduzLw.html"]gay furry dating[/url], http://www.churchdrama.org/PqMRbdbkduzLw.html gay furry dating, 8), lesbian niko hentai, [url="http://fecav.org/mwWoqknCSYPTl.html"]lesbian niko hentai[/url], http://fecav.org/mwWoqknCSYPTl.html lesbian niko hentai, %PPP, dark dps hentai, [url="http://www.erv.es/fUWUwIKyrJwVr.html"]dark dps hentai[/url], http://www.erv.es/fUWUwIKyrJwVr.html dark dps hentai, agxkpb, latex-men hentai, [url="http://maxwellcomputers.net/BhMZjsKyebAeF.html"]latex-men hentai[/url], http://maxwellcomputers.net/BhMZjsKyebAeF.html latex-men hentai, =-(, cfnm hentai, [url="http://celtagris.com/VwZUbGZHViNVg.html"]cfnm hentai[/url], http://celtagris.com/VwZUbGZHViNVg.html cfnm hentai, %OOO, adult dating best sites, [url="http://www.girlscrushingcars.com/fXmSXMKjRnxJo.html"]adult dating best sites[/url], http://www.girlscrushingcars.com/fXmSXMKjRnxJo.html adult dating best sites, 36647,

    ReplyDelete
  4. Hi! The post is really interesting! I

    ReplyDelete
  5. I think its good decision what he did., horny hentai schoolgirl, [url="http://www.voytec.com/MSfHRomKaomSj.html"]horny hentai schoolgirl[/url], http://www.voytec.com/MSfHRomKaomSj.html horny hentai schoolgirl, :]], robozou hentai, [url="http://www.pervaza.lt/cmnNJXRpJRUSS.html"]robozou hentai[/url], http://www.pervaza.lt/cmnNJXRpJRUSS.html robozou hentai, 07238, hentai futa image gallery, [url="http://www.langlance.com/EWIMrKSSwJBTM.html"]hentai futa image gallery[/url], http://www.langlance.com/EWIMrKSSwJBTM.html hentai futa image gallery, vytsr, hentai videos title object object, [url="http://www.sisine.net/xBVnQMlzmpXAC.html"]hentai videos title object object[/url], http://www.sisine.net/xBVnQMlzmpXAC.html hentai videos title object object, 352967, cialis next day, [url="http://www.realasia.net/efUoiaPXduAVh.html"]cialis next day[/url], http://www.realasia.net/efUoiaPXduAVh.html cialis next day, =-PP, marvel hentai manga, [url="http://www.gotrchicago.org/PYcXUWFnjGbtM.html"]marvel hentai manga[/url], http://www.gotrchicago.org/PYcXUWFnjGbtM.html marvel hentai manga, zks, , [url="http://www.pace-coalition.org/JFgmxTccvYNqr.html"][/url], http://www.pace-coalition.org/JFgmxTccvYNqr.html , oqvivf, megan summers webcam, [url="http://www.gennysu.com.tw/DesGQGjYBJKQX.html"]megan summers webcam[/url], http://www.gennysu.com.tw/DesGQGjYBJKQX.html megan summers webcam, 582, blaziken hentai, [url="http://www.erv.es/fUWUwIKyrJwVr.html"]blaziken hentai[/url], http://www.erv.es/fUWUwIKyrJwVr.html blaziken hentai, >:-DD, discount zyprexa, [url="http://freestuffweekly.com/AIjHNVTxRHVeL.html"]discount zyprexa[/url], http://freestuffweekly.com/AIjHNVTxRHVeL.html discount zyprexa, 4657,

    ReplyDelete
  6. umWWQi zzvmxaxltzoc, [url=http://rmxukcqhoctg.com/]rmxukcqhoctg[/url], [link=http://phojyyamzylc.com/]phojyyamzylc[/link], http://ambkymwabrpb.com/

    ReplyDelete
  7. ReKTI9 juoraekmffuj, [url=http://wtkflaukfjzg.com/]wtkflaukfjzg[/url], [link=http://jthzbvovxkue.com/]jthzbvovxkue[/link], http://tmcynmsujxqk.com/

    ReplyDelete