Al momento sto fallendo una scansione PCI a causa di CVE-2012-4448 La risoluzione consigliata da Security Metrics è l'aggiornamento a una versione wordpress superiore a 3.4.2, tuttavia attualmente questa è la versione più alta. la ricerca sul CVE rivela che al momento non esiste una soluzione per i fornitori. Mi sembra che questo significhi attualmente che un server con Wordpress non può essere compatibile con PCI. La mia comprensione della situazione è corretta?
Sono uno sviluppatore di un progetto open source chiamato WPScan , uno scanner di vulnerabilità di WordPress.
Avendo parlato con uno degli sviluppatori principali di WordPress un paio di settimane fa riguardo a questo problema, WordPress ha visto questa particolare vulnerabilità come a basso rischio. Tuttavia, verrà aggiornato nella nuova versione, che dovrebbe essere in qualsiasi momento.
Ho appena implementato una rapida "correzione" sul mio blog personale per prevenire lo sfruttamento di questa vulnerabilità.
In wp-admin/includes/dashboard.php commenta le righe 1065-1093. Questo commenta il contenuto della funzione wp_dashboard_rss_control che riceve la variabile $_POST['widget-rss'][$number] controllabile dall'utente necessaria per sfruttare questa vulnerabilità.
Ciò ha impedito lo sfruttamento della vulnerabilità. Non ho notato nessun altro effetto negativo nel fare ciò sul mio blog, tuttavia, farlo potrebbe influenzare alcune altre parti del sistema, ma non l'ho visto.
Quanto sopra è un'opzione se non puoi aspettare qualche giorno o una settimana affinché WordPress rilasci la versione con patch.
Se vuoi un blog più sicuro oltre che passare il PCI, controlla WPScan.
Al momento sei corretto, senza codice personalizzato non puoi proteggere il tuo sito wordpress per determinate azioni a causa di CVE-2012-4448.
C'è un esempio di exploit che può essere trovato qui . Stavo valutando se un plugin come Sicurezza anti-proiettile potrebbe essere d'aiuto. Ma mentre pubblicizzano che effettivamente proteggono contro CSRF, l'unica cosa che posso trovare al momento è un filtro di base con .htaccess per certe cartelle (e nient'altro in realtà) (li ho sfidati e sono in attesa di una risposta su come in realtà implementano la protezione CSRF).
Ho anche guardato il registro delle modifiche di wordpress 3.5 ma non posso confermare che abbiano già risolto questo problema nella versione beta.
Quindi, al momento, dovrei concludere che hai ragione.
UPDATE:
Ritorna da AITpro:
Sì, il wpnonce è la protezione CSRF. Ad un certo punto utilizzeremo anche il CSRFGuard di OWASP, ma a questo punto la protezione CSRF è già così buona in WordPress che non è realmente necessaria.
Leggi altre domande sui tag pci-dss