WordPress安全漏洞:從任意文件刪除到任意代碼執行
WordPress是網絡上最受歡迎的CMS系統。據w3tech統計,約有30%的網站運行了該系統。該系統的應用是如此廣泛,難免會成爲網絡犯罪分子攻擊目標。在這篇博文中,我們將爲讀者介紹WordPress內核中的一個任意文件刪除漏洞,這個漏洞可能會導致攻擊者執行任意代碼。早在7個月前,我們就向WordPress安全團隊報告了這個漏洞,但到目前爲止,該漏洞仍然沒有得到修補。自初次報告(該報告既沒有提供任何補丁,也沒有給出具體的修復計劃)至今,已經過了漫長的時間,但是仍然沒有看到任何的修復跡象,所以,我們決定將這個漏洞公之於衆,以督促其儘快採取行動。
受影響的版本
在撰寫本文時,該漏洞仍然沒有補丁可用。並且,所有WordPress版本,包括當前的4.9.6版本在內,都面臨這個漏洞的威脅。
要想利用下面討論的這個漏洞,攻擊者需要事先獲得編輯和刪除媒體文件的權限。因此,該漏洞可用於通過接管角色與作者一樣低的帳戶或通過利用其他漏洞/錯誤配置來實現提權。
漏洞危害
利用這個漏洞,攻擊者能夠刪除WordPress安裝的任何文件(+ PHP服務器上的任何其他文件,即PHP進程有權刪除的,盡情刪就是了)。除了刪除整個WordPress安裝的可能性(如果當前沒有備份可用的話,將會導致災難性後果)之外,攻擊者還可以利用任意文件刪除功能繞過一些安全措施,繼而在Web服務器上執行任意代碼。更確切地說,攻擊者可以刪除下列文件:
.htaccess:通常情況下,刪除該文件不會有任何安全影響。但是,在某些情況下,.htaccess文件包含與安全相關的安全約束(例如,對某些文件夾的訪問限制),因此,刪除此文件後,相應的安全限制將會隨之消失。
index.php文件:通常情況下,一些空的index.php文件被放置到各個目錄中,以防止相應目錄中的內容被列出。刪除這些文件後,攻擊者就能夠列出受該方法保護的目錄中的所有文件。
wp-config.php:刪除這個WordPress安裝文件會在下次訪問該網站時觸發WordPress安裝過程。這是因爲wp-config.php包含數據庫憑證,如果沒有它,WordPress的就會採取尚未安裝之前的操作。攻擊者可以刪除該文件,然後,使用爲管理員帳戶選擇的憑據進行安裝,最後在服務器上執行任意代碼。關於WordPress安全方面的問題可以關注趙一八筆記