WordPress系统一个安全漏洞,其内核中任意删除文件可导致执行任意代码

WordPress   2018年07月03日 16:53  

作为网上最受欢迎的系统,WordPress系统覆盖了曰生成的网站。如此多的用户量,不免也叫很多网络犯罪眼红,成为被攻击的目标。

有关WordPress内核中的一个任意文件删除漏洞,可能会导致攻击者执行任意代码。所以此处只是对这一漏洞的公布,希望能得到各方重视,并尽快采取行动。

受影响的版本

在撰写本文时,该漏洞仍然没有补丁可用。并且,所有WordPress版本,包括当前的4.9.6版本在内,都面临这个漏洞的威胁。

要想利用下面讨论的这个漏洞,攻击者需要事先获得编辑和删除媒体文件的权限。因此,该漏洞可用于通过接管角色与作者一样低的帐户或通过利用其他漏洞/错误配置来实现提权。

漏洞危害

利用这个漏洞,攻击者能够删除WordPress安装的任何文件(+ PHP服务器上的任何其他文件,即PHP进程有权删除的,尽情删就是了)。除了删除整个WordPress安装的可能性(如果当前没有备份可用的话,将会导致灾难性后果)之外,攻击者还可以利用任意文件删除功能绕过一些安全措施,继而在Web服务器上执行任意代码。更确切地说,攻击者可以删除下列文件:

.htaccess:通常情况下,删除该文件不会有任何安全影响。但是,在某些情况下,.htaccess文件包含与安全相关的安全约束(例如,对某些文件夹的访问限制),因此,删除此文件后,相应的安全限制将会随之消失。

index.php文件:通常情况下,一些空的index.php文件被放置到各个目录中,以防止相应目录中的内容被列出。删除这些文件后,攻击者就能够列出受该方法?;さ哪柯贾械乃形募?。

wp-config.php:删除这个WordPress安装文件会在下次访问该网站时触发WordPress安装过程。这是因为wp-config.php包含数据库凭证,如果没有它,WordPress的就会采取尚未安装之前的操作。攻击者可以删除该文件,然后,使用为管理员帐户选择的凭据进行安装,最后在服务器上执行任意代码。

要了解详情,请查看视频:https://blog.ripstech.com/videos/wp-unlink.mp4

漏洞详情

将未经过滤的用户输入传递给文件删除函数时,就可能触发任意文件删除漏洞。对于PHP来说,当调用unlink()函数并且可能影响部分或整个参数$filename的用户输入没有进行适当的过滤时,就可能出现这种情况;其中,该参数表示表要删除的文件的路径。

在WordPress Core中,引发这个漏洞的代码位于wp-includes/post.php文件中:

在上面显示的wp_delete_attachement()函数中,$ meta [‘thumb’]的内容未经任何过滤处理就直接传递给unlink()调用了。这段代码的用途是,在删除图像的同时,一起将其缩略图删掉。在WordPress中,通过媒体管理器上传的图像将作为attachement类型的文章对待。值$meta [‘thumb’]是从数据库中检索的,在数据库中,它保存在表示图像的文章的自定义字段中。因此,在从数据库检索后,到传递给关键函数unlink()期间,并没有对表示缩略图文件名的值进行任何过滤或检查。如果该值在保存到数据库之前也没有经过任何过滤,或过滤不充分的话——我们将在下一个代码清单中看到这种情况——就可能出现一个两阶段的任意文件删除漏洞。

/wp-admin/post.php文件:

后面的代码片段(位于/wp-admin/post.php中)展示了隶属于附件的缩略图的文件名是如何保存到数据库的。用户输入从$_POST [‘thumb’]中取出后,直到通过wp_update_attachment_metadata()保存到数据库这段过程中,系统没有对这些内容进行适当的安全过滤,因此,也就无法确保该值的确为正在编辑的附件的缩略图。此外,由于$_POST [‘thumb’]的值可以将任意文件的路径保存到WordPress上传目录相对路径中,所以当附件被删除时,该文件也会被删除,如前面的代码所展示的那样。

临时补丁

在撰写本文的时候,WordPress中的这个漏洞仍未得到修复。正因为如此,我们已经开发了一个临时补丁供大家使用。通过将该补丁添加到当前活动的主题/子主题的functions.php文件中,就可以将该补丁集成到现有的WordPress安装中。

实际上,该补丁的工作原理就是,“钩住”wp_update_attachement_metadata()调用,对提供给thumb的数据进行安全过滤,确保其中不包含任何使路径遍历成为可能的内容,这样一来,攻击者就无法删除与安全相关的文件了。

当然,这里提供的补丁只是临时性的,主要用来防止用户收到恶意攻击。由于我们无法兼顾WordPress插件的所有可能的向后兼容性问题,所以,建议您谨慎地对WordPress文件进行任何修改。

时间线

2017/11/20 ? ? 向Hackerone上的WordPress安全团队报告该漏洞。

2017/11/22 ? ? 安全团队对这个漏洞进行分类和验证。

2017/12/12 ? ? 询问进展。

2017/12/18 ? ? ?Wordpress正在开发一个补丁程序。我们询问发布日期,但是没有收到回应。

2018/01/09 ? ? 咨询补丁的发布日期,依然没有收到回复。

2018/01/20 ? ? 鉴于该安全问题的严重性和缺乏沟通,我们请求Hackerone进行调解。

2018/01/24 ? ?WordPress安全小组估计修复时间为6个月。

2018/05/24 ? ? 询问有关问题的进展和/或计划,并提醒他们尽快发布,但是没有得到任何回应。

2018/05/24 ? ? 向安全团队发送twitter DM,以确保他们不会忽视Hackerone上的消息。

2018/06/26 ? ? 漏洞提交7个月后,WordPress安全团队仍未解决问题。

结束语

在这篇文章中,我们介绍了WordPress Core中的一个任意文件删除漏洞,任何具有作者权限的用户都能够利用该漏洞来完全接管WordPress网站,继而在服务器上执行任意代码。尽管该漏洞去年就报告给了WordPress安全团队,但截止撰写本文时为止,他们仍然没有对该漏洞进行修复。

为了提高对这个漏洞的认识,我们决定发布一些细节和相应的补丁。使用我们的安全分析方法,大家可以轻松发现该漏洞,我们确信这个问题已经为许多研究人员所了解。尽管用户帐户的要求对该漏洞的影响规模有一些影响,但共享多个用户帐户的站点,应该及时安装相应的安全补丁。

下面是整理这篇漏洞发现发表的原文及文章翻译:

原文:https://blog.ripstech.com/2018/wordpress-file-delete-to-code-execution/

翻译:https://www.secpulse.com/archives/73019.html

有兴趣的朋友可以继续点开去看。

域名注册
购买VPS主机

您或许对下面这些文章有兴趣:                    本月吐槽辛苦排行榜

看贴要回贴有N种理由!看帖不回贴的后果你懂得的!


评论内容 (*必填):
(Ctrl + Enter提交)   

部落快速搜索栏

各类专题梳理

网站导航栏

X
返回顶部
  • 北京市贸促会--北京频道--人民网 2018-11-06
  • 杭宁高速改扩建加大通行压力 2018-10-24
  • 把握和传承好“变则通”思想(大家手笔) 2018-10-21
  • 牢记嘱托 让重庆各项工作迈上新台阶重庆各界学习贯彻习近平总书记参加重庆代表团审议时的重要讲话精神 2018-10-21
  • 江西:入汛以来最强连续暴雨即将来临 防汛进入关键阶段 2018-10-18
  • 华硕ZenFone Ares正式推出:搭载骁龙821处理器 2018-10-05
  • 洪磊:私募基金发展的前提是投资人信任 2018-10-05
  • 被审美疲劳毁掉的NBA年度狂欢 2018-09-24
  • 端午假期结束 中国接待国内游客8910万人次 2018-09-24
  • 花莲地震  福建女游客处于濒临脑死亡状态 2018-09-23
  • 劳动不是人的本质,对劳动成果即社会财富的占有才是人的本质。在私有制阶级社会中,劳动成果即社会财富被剥削阶级无偿占有,所以人的本质便表现为阶级本质,“每... 2018-09-17
  • 12天!小米CDR发行申请火速上会 刷新富士康光速IPO 2018-09-17
  • 池州:上千名幼儿及家长共同诵读古今经典(图) 2018-09-10
  • 一把鲜枣补足维C 鲜枣富含多种营养素 2018-08-21
  • 进京通行证限次数!70.9万辆本地化使用外埠号牌车或将受影响 2018-08-11
  • 1| 873| 299| 742| 556| 105| 609| 187| 609| 58|