漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-096647
漏洞标题:Wordpress解压缩路径审查不严可导致恶意插件执行
相关厂商:wordpress
漏洞作者: chenweikeng
提交时间:2015-02-10 22:53
修复时间:2015-05-16 14:13
公开时间:2015-05-16 14:13
漏洞类型:文件上传导致任意代码执行
危害等级:低
自评Rank:5
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-02-10: 细节已通知厂商并且等待厂商处理中
2015-02-15: 厂商主动忽略漏洞,细节向第三方安全合作伙伴开放
2015-04-11: 细节向核心白帽子及相关领域专家公开
2015-04-21: 细节向普通白帽子公开
2015-05-01: 细节向实习白帽子公开
2015-05-16: 细节向公众公开
简要描述:
Wordpress解压缩体系本身具有一定的安全能力,但是对于特定情况过滤不足,使得危险插件可能在尚未激活的情况下,就可以替换网站的关键程序。
详细说明:
Wordpress解压缩体系能够识别设备字符、MAC特殊路径等等,但是没有实现对../这样的路径的过滤,使得危险插件可能在尚未激活的情况下,就可以替换网站的关键程序。
在WP 3.9.1 下测试通过,用户可以通过WP上传插件,插件文件将解压在wp-content/plugins/XXX目录中。
我们可能会认为,zip压缩文件的每个文件,最终都能严格的释放在这个目录中。按照zip的规范,这是成立的。但是,zip包如果精心构造,这就不一定了。
举个例子,对于某个插件包,我们将里面的文件baidusubmit/readme.txt,路径修改为../../../../readme.txt,文件名大小能保持一样。
上传这个插件包时,Wordpress把readme.txt放到了很高等级的目录,比如,在我服务器public_html,解压后在ftp根目录。
FTP根目录
Readme.txt
Public_html
Wp_contents
…
….
一部分zip工具不能看出位于根目录的母目录的母目录的readme.txt,例如Windows 8自带的压缩文件浏览。2345压缩似乎是可以的。这主要是设计原理不同。
我认为,文件可以挪动到非插件位置并不安全,特别是在插件还“未激活”的情况下。
漏洞证明:
修复方案:
Wordpress 内置的解压类应该针对 ../ 这种符号做处理。
版权声明:转载请注明来源 chenweikeng@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2015-05-16 14:13
厂商回复:
风险存在,但攻击前提较高,需要有网站服务器管理方的配合,原则上讲不成立.
最新状态:
暂无