上周WordPress被爆出一个新的漏洞,该漏洞容许未经身份验证的攻击者远程执行代码并接管网站权限。
php
该漏洞影响存储在数据库中的过滤后的评论,任何开启了注释功能且为5.1.1以前版本的WordPress都是脆弱的。数据库
为了利用这个漏洞,攻击者必须欺骗站点管理员访问一个域,从而在后台触发跨站点请求伪造(CSRF)漏洞,该漏洞利用一系列逻辑缺陷和清理错误来执行代码并接管目标站点。安全
这个漏洞在默认设置下是能够利用的,并且随着大多数WordPress安装启用了评论功能,数百万个网站可能会受到影响。服务器
该问题的核心是当用户发布新评论时WordPress不执行CSRF验证(若是验证到位,trackbacks和pingbacks等功能将会中断),这使得攻击者能够以管理员的名义建立评论。
微信
考虑到管理员能够在注释中使用任意HTML标记,甚至<script>标记,这种验证的缺少可能成为一个关键问题,由于攻击者在理论上可能会滥用CSRF来建立包含恶意JavaScript代码的注释。网站
WordPress试图经过在评论表单中为管理员生成一个额外的nonce来解决这个问题。当管理员提交一个注释并提供一个有效的nonce时,该注释将在不进行任何清理的状况下建立。若是nonce无效,仍然会建立注释,可是会对其进行清理。清理过程当中的逻辑缺陷可能容许攻击者建立包含“比一般容许包含的HTML标记和属性多得多”的注释,这可能致使在WordPress核心中存储跨站点脚本(XSS)。其可能的缘由是一些一般不能在注释中设置的属性被错误地解析和操做,从而致使任意的属性注入。url
攻击者能够建立一个包含精心制做的<a>标记的注释,经过将这个清理漏洞与CSRF漏洞连接起来,将存储的XSS有效负载注入目标网站。接下来,攻击者须要欺骗管理员来执行注入的JavaScript,这能够经过攻击者网站上隐藏的<iframe>来完成。spa
远程代码执行很容易成功。默认状况下,WordPress容许博客管理员从管理仪表板中直接编辑主题和插件的.php文件。只要插入一个PHP后门,攻击者就能够在远程服务器上得到任意PHP代码的执行。.net
这个漏洞在WordPress 5.1.1中获得了解决,若是网站没有设置为自动更新(这是默认设置),建议网站管理员尽快下载并应用这个补丁。插件
本文分享自微信公众号 - 悬镜AI安全(Anpro-tech)。
若有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一块儿分享。