Uma das temáticas mais populares do WordPress globalmente corrigiu discretamente uma falha de segurança durante o final de semana, que especialistas em segurança afirmam ter corrigido uma vulnerabilidade de XSS armazenada.
O funcionário Astra changelog deu esta justificação sobre a atualização de segurança.
Melhorias na segurança: Reforçamos nossa base de código para oferecer uma proteção adicional ao seu site.
Seu registro de alterações, que lista as modificações feitas no código em cada atualização, não fornece detalhes sobre a natureza ou gravidade das vulnerabilidades. Isso impede que os usuários tomem decisões informadas sobre a urgência de atualizar seu tema ou se devem realizar testes prévios para garantir a compatibilidade com outros plugins em uso.
SEJ visitou a empresa de segurança Patchstack WordPress, onde foi constatado que Astra pode ter solucionado uma falha de script cross-site.
Título de imprensa do Brainstorm Force Astra Word.
Astra é um dos temas WordPress mais amplamente utilizados globalmente. É um tema gratuito, leve e simples de usar, que proporciona um visual profissional aos sites. Além disso, possui dados estruturados Schema.org incorporados em sua estrutura.
Exposição a scripts maliciosos entre sites (XSS)
Uma das vulnerabilidades mais frequentes no WordPress é a vulnerabilidade de script cross-site, que costuma ocorrer em plugins e temas de terceiros. Essa vulnerabilidade acontece quando há uma brecha na filtragem de dados de entrada ou saída por parte do plugin ou tema, o que pode possibilitar que um invasor envie uma carga maliciosa.
Essa falha específica é conhecida como XSS armazenado, nome dado devido ao fato de que a carga maliciosa é carregada e armazenada diretamente no servidor do site.
O site do Open Worldwide Application Security Project (OWASP) descreve uma vulnerabilidade de XSS armazenada da seguinte forma:
Ataques de XSS armazenado ocorrem quando um script malicioso é inserido de forma permanente nos servidores de destino, como em um banco de dados, fórum de mensagens, registro de visitantes ou campo de comentários. A vítima é exposta ao script malicioso ao solicitar as informações armazenadas, sendo esse tipo de ataque algumas vezes chamado de XSS persistente ou XSS tipo II.
Avaliação do Patchstack sobre o plugin.
O SEJ entrou em contato com o Patchstack, que rapidamente analisou os arquivos modificados e detectou uma potencial questão de segurança em três funções do WordPress relacionadas ao tema. As funções de tema são códigos que podem alterar o comportamento dos recursos do WordPress, como ajustar a duração de um trecho. Essas funções podem incluir personalizações e introduzir novas funcionalidades em um tema.
Patchstack detalhou as conclusões de suas investigações.
Eu comparei as diferenças entre a versão 4.6.9 e 4.6.8 (versão gratuita) que baixei do repositório WordPress.org.
Parece que várias funções foram alteradas para evitar o retorno de valor da função WordPress get_the_author.
Essa função exibe o nome de exibição de um usuário, podendo conter conteúdo malicioso que pode explorar uma vulnerabilidade de script cross-site se exibido diretamente sem o uso de qualquer método de escape de saída.
Estas funções foram alteradas conforme descrito.
Se um contribuinte publicar um post e posteriormente alterar seu nome de exibição para incluir um conteúdo malicioso, esse conteúdo será ativado quando alguém acessar a página com o nome de exibição modificado.
Informações não confiáveis podem surgir em situações de vulnerabilidades XSS no WordPress, quando um usuário tem a capacidade de introduzir dados.
Essas etapas são conhecidas como Sanitização, Validação e Escaping, três métodos para assegurar a segurança de um site WordPress.
A sanitização é um procedimento que filtra dados ao entrar. A validação consiste em verificar a entrada para assegurar se corresponde ao esperado, como texto em vez de código. Já o escaping de saída garante que qualquer informação que seja exibida, como input do usuário ou conteúdo do banco de dados, esteja segura para ser visualizada no navegador.
A empresa de segurança Patchstack do WordPress detectou alterações em funções que revelam informações sobre a vulnerabilidade e sua correção.
Serviço de Segurança fornecido pela Patchstack.
Não se sabe se a vulnerabilidade foi descoberta por um pesquisador de segurança externo ou se foi descoberta e corrigida pela equipe da Brainstorm, responsável pelo tema Astra.
A equipe de comunicação do Patchstack forneceu essa informação.
Uma vulnerabilidade de Cross Site Scripting (XSS) foi encontrada por um indivíduo não identificado e reportada no tema Astra do WordPress. Isso poderia possibilitar a inserção de scripts maliciosos por um agente mal-intencionado, como redirecionamentos, anúncios e outras cargas HTML, os quais seriam executados quando os visitantes acessam o site. Essa falha de segurança foi corrigida na versão 4.6.9.
Patchstack classificou a vulnerabilidade como um risco moderado e lhe deu uma nota de 6,5 em uma escala de 1 a 10.
Especialista em Segurança da Wordfence.
A Wordfence recentemente divulgou um relatório de segurança, no qual analisaram os arquivos Astra e chegaram a uma conclusão.
O tema Astra para WordPress até a versão 4.6.8 apresenta uma vulnerabilidade de Cross-Site Scripting armazenado, que pode ser explorada por atacantes autenticados com níveis de acesso de contribuinte ou superior. Isso permite a inserção de scripts maliciosos em páginas que serão executados quando os usuários acessarem essas páginas. A vulnerabilidade ocorre devido à falta de higienização adequada na entrada e saída de dados.
Recomenda-se que os usuários do tema atualizem sua instalação, porém é aconselhável verificar se a atualização do tema não gera erros antes de aplicá-la em um site ativo.
Outras opções para consulta incluem:
- Dicas para garantir a segurança do seu site WordPress.
- Como proteger e garantir a segurança do seu site do WordPress em 16 etapas.
A imagem principal é fornecida pela Shutterstock, creditada a GB_Art.