Um dos temas WordPress mais populares do mundo corrigiu discretamente uma vulnerabilidade de segurança no fim de semana que, segundo pesquisadores de segurança, parece ter corrigido uma vulnerabilidade XSS armazenada.
O changelog oficial do Astra ofereceu esta explicação sobre o lançamento de segurança:
“Segurança aprimorada: nossa base de código foi fortalecida para proteger ainda mais o seu site.”
Seu changelog, que documenta alterações no código incluído em cada atualização, não oferece informações sobre qual era a vulnerabilidade ou sua gravidade. Os usuários do tema, portanto, não podem tomar uma decisão informada sobre atualizar seu tema o mais rápido possível ou realizar testes antes de atualizar para garantir que o tema atualizado seja compatível com outros plug-ins em uso.
SEJ entrou em contato com a empresa de segurança Patchstack WordPress, que verificou que o Astra pode ter corrigido uma vulnerabilidade de script entre sites.
Tema WordPress Brainstorm Force Astra
Astra é um dos temas WordPress mais populares do mundo. É um tema gratuito relativamente leve, fácil de usar e que resulta em sites com aparência profissional. Ele ainda possui dados estruturados do Schema.org integrados.
Vulnerabilidade de script entre sites (XSS)
Uma vulnerabilidade de script entre sites é um dos tipos mais comuns de vulnerabilidade encontrados no WordPress, que geralmente surge em plug-ins e temas de terceiros. É uma vulnerabilidade que ocorre quando há uma maneira de inserir dados, mas o plug-in ou tema não filtra suficientemente o que está sendo entrada ou saída, o que pode posteriormente permitir que um invasor carregue uma carga maliciosa.
Esta vulnerabilidade específica é chamada de XSS armazenado. Um XSS armazenado é assim chamado porque envolve o upload direto da carga útil para o servidor do site e o armazenamento.
O site sem fins lucrativos Open Worldwide Application Security Project (OWASP) oferece a seguinte descrição de uma vulnerabilidade XSS armazenada:
“Ataques armazenados são aqueles em que o script injetado é armazenado permanentemente nos servidores de destino, como em um banco de dados, em um fórum de mensagens, registro de visitantes, campo de comentários, etc. informações armazenadas. O XSS armazenado também é às vezes chamado de XSS persistente ou tipo II.
Revisão do Patchstack do Plugin
SEJ contatou Patchstack que prontamente revisou os arquivos alterados e identificou um possível problema de segurança do tema em três funções do WordPress. As funções do WordPress são códigos que podem alterar o comportamento dos recursos do WordPress, como alterar o tamanho de um trecho. As funções podem adicionar personalizações e introduzir novos recursos a um tema.
Patchstack explicou suas descobertas:
“Baixei a versão 4.6.9 e 4.6.8 (versão gratuita) do repositório WordPress.org e verifiquei as diferenças.
Parece que várias funções tiveram uma alteração para escapar do valor de retorno da função get_the_author do WordPress.
Esta função imprime a propriedade “display_name” de um usuário, que pode conter algo malicioso e resultar em uma vulnerabilidade de script entre sites se impressa diretamente, sem usar qualquer função de escape de saída.
As seguintes funções tiveram essa alteração feita:
astra_archive_page_info astra_post_author_name astra_post_authorSe, por exemplo, um contribuidor escreveu uma postagem e esse contribuidor alterar seu nome de exibição para conter uma carga maliciosa, essa carga maliciosa será executada quando um visitante visitar essa página com seu nome de exibição malicioso.”
Dados não confiáveis no contexto de vulnerabilidades XSS no WordPress podem ocorrer quando um usuário consegue inserir dados.
Esses processos são chamados de Sanitização, Validação e Escape, três formas de proteger um site WordPress.
Pode-se dizer que a sanitização é um processo que filtra os dados de entrada. Validação é o processo de verificar o que é inserido para determinar se é exatamente o esperado, como texto em vez de código. O escape da saída garante que qualquer saída, como entrada do usuário ou conteúdo do banco de dados, seja segura para exibição no navegador.
A empresa de segurança WordPress Patchstack identificou alterações em funções que escapam aos dados, o que, por sua vez, fornece pistas sobre qual é a vulnerabilidade e como ela foi corrigida.
Aviso de segurança Patchstack
Não se sabe se um pesquisador de segurança terceirizado descobriu a vulnerabilidade ou se a Brainstorm, os criadores do tema Astra, a descobriu e corrigiu.
O comunicado oficial do Patchstack ofereceu esta informação:
“Uma pessoa desconhecida descobriu e relatou esta vulnerabilidade Cross Site Scripting (XSS) no WordPress Astra Theme. Isso pode permitir que um agente mal-intencionado injete scripts maliciosos, como redirecionamentos, anúncios e outras cargas HTML em seu site, que serão executados quando visitantes visitarem seu site. Esta vulnerabilidade foi corrigida na versão 4.6.9.”
Patchstack avaliou a vulnerabilidade como uma ameaça média e atribuiu-lhe uma pontuação de 6,5 numa escala de 1 a 10.
Aviso de segurança do Wordfence
O Wordfence também acaba de publicar um comunicado de segurança. Eles analisaram os arquivos do Astra e concluíram:
“O tema Astra para WordPress é vulnerável a scripts entre sites armazenados por meio do nome de exibição de um usuário em todas as versões até 4.6.8, inclusive, devido à limpeza insuficiente de entrada e escape de saída. Isso possibilita que invasores autenticados, com acesso de nível de contribuidor e superior, injetem scripts da web arbitrários em páginas que serão executadas sempre que um usuário acessar uma página injetada.”
Geralmente é recomendado que os usuários do tema atualizem sua instalação, mas também é prudente testar se o tema atualizado não causa erros antes de enviá-lo para um site ativo.
Veja também:
Imagem em destaque por Shutterstock/GB_Art
