Наші новини


Дізнайтеся першими про результати нашої роботи та останні новини
в сфері інформаційної безпеки

wp.png

Виявлена нова вразливість в WordPress CMS (CVE-2018-6389), яка дозволяє провести DoS-атаку.

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-6389

Вразливість спостерігається на всіх версіях платформи WordPress.

Проблема полягає в функціоналі скрипту «load-scripts.php» та відсутності обмеження доступу до нього. Скрипт доступний будь-яким користувачам в мережі Інтернет.

Принцип роботи полягає в тому, що при завантажені веб-сайту файл 'load-scripts.php' намагається знайти кожне ім’я файлів JavaScript, які вказані в URL після параметру «load» для об’єднання їх контенту в єдиний файл та відправки його до браузеру користувачів.

Як здійснюється DoS атака на сайти WordPress за допомогою зазначеної вразливості?

https://your-wordpress-site.com/wp-admin/load-scripts.php?c=1&load=editor,common,user-profile,media-widgets,media-gallery

Атакуючий має можливість примусити скрипт «load-scripts.php» завантажити велику кількість файлів JavaScript, які знаходяться на сервері, за один раз, просто створивши URL з великою кількістю імен існуючих файлів. Велика кількість таких запитів може призвести до відмови в обслуговувані. Сервер не справляється з такою кількістю інформації для обробки і користувачу не залишається більше нічого окрім спостереження за помилками 502, 503 та 504.

Рекомендації:

На даний час не опубліковано інформації щодо оновлень WordPress, які усувають зазначену вразливість.

Поки оновлення не випущені, захищатися від зазначеної вразливості можливо на рівні серверу, або мережі, наприклад, створюючи обмеження на прийняття запитів з ІР-адрес за період деякого часу.

Корисні посилання:
https://baraktawily.blogspot.in/2018/02/how-to-dos-29-of-world-wide-websites.html
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-6389
https://nvd.nist.gov/vuln/detail/CVE-2018-6389
https://thehackernews.com/2018/02/wordpress-dos-exploit.html
https://xakep.ru/2018/02/06/wordpress-dos/

Повідомити про інцидент