近日RIPS曝出wordpress直至 4.9.6的版本依然存在一个任意文件删除漏洞,拥有author及类似权限的wordpress站点受到此漏洞威胁,攻击者可通过构造附件的’thumb’路径造成任意文件删除。严重的后果将导致攻击者获取站点管理员权限进而控制服务器。
漏洞原理与危害
该漏洞出现的原因是由于在WordPress的wp-includes/post.php文件中wp_delete_attachement()函数在接收删除文件参数时未进行安全处理,直接进行执行导致。
- function wp_delete_attachment( $post_id, $force_delete = false ) {
- …
- $meta = wp_get_attachment_metadata( $post_id );
- …
- if ( ! emptyempty($meta[‘thumb’]) ) {
- // Don’t delete the thumb if another attachment uses it.
- if (! $wpdb->get_row( $wpdb->prepare( “SELECT meta_id FROM $wpdb->postmeta WHERE meta_key = ‘_wp_attachment_metadata’ AND meta_value LIKE %s AND post_id <> %d”, ‘%’ . $wpdb->esc_like( $meta[‘thumb’] ) . ‘%’, $post_id)) ) {
- $thumbfile = str_replace(basename($file), $meta[‘thumb’], $file);
- /** This filter is documented in wp-includes/functions.php */
- $thumbfile = apply_filters( ‘wp_delete_file’, $thumbfile );
- @ unlink( path_join($uploadpath[‘basedir’], $thumbfile) );
- }
- }
- …
- }
$meta[‘thumb’]来自与数据库,是图片的属性之一。代码未检查$meta[‘thumb’]的内容,直接带入unlink函数,如果$meta[‘thumb’]可控则可导致文件删除。
文件/wp-admin/post.php中:
- …
- switch($action) {
- …
- case ‘editattachment’:
- check_admin_referer(‘update-post_’ . $post_id);
- …
- // Update the thumbnail filename
- $newmeta = wp_get_attachment_metadata( $post_id, true );
- $newmeta[‘thumb’] = $_POST[‘thumb’];
- wp_update_attachment_metadata( $post_id, $newmeta );
- …
$newmeta[‘thumb’]来自于$_POST[‘thumb’],未经过滤直接将其存入数据库,即上一步的$meta[‘thumb’]可控。
修复建议:
可将下面的代码加载到当前主题的function.php中进行弥补:
- add_filter( ‘wp_update_attachment_metadata’, ‘rips_unlink_tempfix’ );
- function rips_unlink_tempfix( $data ) {
- if( isset($data[‘thumb’]) ) {
- $data[‘thumb’] = basename($data[‘thumb’]);
- }
- return $data;
- }
原创文章,作者:老D,如若转载,请注明出处:https://laod.cn/4830.html
评论列表(3条)
此漏洞需要登录,所以基本还是安全的吧
大佬,刚更新完4.9.7才看到,请问还需要添加吗
@Flavia:4.9.7已修复该漏洞