Pesquisador torna público hack por bypass do WordPress CSP

2.6.22

 Um pesquisador de segurança descobriu uma técnica interessante, embora parcialmente desenvolvida, para contornar os controles CSP (Content Security Policy) usando o WordPress .



O hack, descoberto pelo pesquisador de segurança Paulos Yibelo , baseia-se em abusar da execução do mesmo método de origem.


Essa técnica usa preenchimento JSON para chamar uma função. Esse é o tipo de coisa que pode permitir o comprometimento de uma conta do WordPress, mas apenas com a adição de um exploit de cross-site scripting (XSS), que o pesquisador ainda não possui.


Yibelo disse ao The Daily Swig que eles não foram tão longe a ponto de tentar o truque em sites ativos, restringindo as explorações a um site de pesquisa de teste que eles próprios possuíam.

“Eu realmente não tentei porque requer um usuário ou administrador do WordPress logado para visitar meu site, então eu instalo o plugin e tenho uma injeção de HTML – o que é ilegal”, explicou Yibelo, acrescentando que eles não tentaram explorar o bug em sites de recompensas de bugs também.

O pesquisador acrescentou que eles relataram isso ao WordPress há três meses via HackerOne. Depois de não obter uma resposta, Yibelo veio a público com as descobertas por meio de um post técnico no blog .

Fim de jogo

Os ataques são potencialmente possíveis em dois cenários: 1) sites que não usam o WordPress diretamente, mas têm um endpoint do WordPress no mesmo domínio ou subdomínio e 2) um site hospedado no WordPress com um cabeçalho CSP.

O impacto potencial é grave, como explica a postagem do blog de Yibelo:

Se um invasor encontrar uma vulnerabilidade de injeção de HTML no domínio principal (ex: website1.com – não WordPress) usando essa vulnerabilidade, ele poderá usar um endpoint do WordPress para atualizar uma injeção de HTML inútil para um XSS completo que pode ser escalado para executar [ execução de código remoto ] RCE. Isso significa que ter o WordPress em qualquer lugar do site anula o propósito de ter um CSP seguro.

O Daily Swig convidou a equipe principal de desenvolvimento do WordPress para comentar sobre a pesquisa . Nenhuma palavra de volta, ainda, mas atualizaremos esta história à medida que ouvirmos mais.

Yibelo concluiu: “Espero que o Wordpress corrija isso para que o CSP permaneça relevante em sites que hospedam um endpoint WordPress”.

A Política de Segurança de Conteúdo é uma tecnologia definida por sites e usada por navegadores que podem bloquear recursos externos e impedir ataques XSS.

0 Comentários

Mozilla descontinua o Firefox de 32 bits para Linux

 Usuários que utilizam Linux de 32 bits, tomem nota. O Firefox costumava ser a escolha preferida de quem buscava uma experiência de navegação privada, rápida e sem complicações. As opiniões agora são divergentes, com alguns usuários ainda jurando por ele, enquanto outros já o abandonaram. As notícias recentes sobre a salvação da Mozilla são um sinal positivo, dando ao Firefox a chance de continuar evoluindo e melhorando a experiência de navegação. Infelizmente, há más notícias para usuários que usam Linux de 32 bits . O que está acontecendo: A Mozilla anunciou recentemente que o Firefox encerrará o suporte para versões de 32 bits do Linux a partir da versão 145, prevista para 2026. A última compilação de 32 bits, versão 144, ainda estará disponível para usuários que executam sistemas mais antigos. O blog também aborda o raciocínio por trás da mudança: Por muitos anos, a Mozilla continuou a fornecer o Firefox para sistemas Linux de 32 bits, mesmo depois de a maioria dos outros nave...