WordPress <= 4.9.6 任意文件删除漏洞 修复方法

近日RIPS曝出wordpress直至 4.9.6的版本依然存在一个任意文件删除漏洞,拥有author及类似权限的wordpress站点受到此漏洞威胁,攻击者可通过构造附件的’thumb’路径造成任意文件删除。严重的后果将导致攻击者获取站点管理员权限进而控制服务器。

WordPress

漏洞原理与危害
该漏洞出现的原因是由于在WordPress的wp-includes/post.php文件中wp_delete_attachement()函数在接收删除文件参数时未进行安全处理,直接进行执行导致。

  1. function wp_delete_attachment( $post_id$force_delete = false ) {
  2.     …
  3. $meta = wp_get_attachment_metadata( $post_id );
  4.     …
  5. if ( ! emptyempty($meta[‘thumb’]) ) {
  6. // Don’t delete the thumb if another attachment uses it.
  7. if (! $wpdb->get_row( $wpdb->prepare( “SELECT meta_id FROM $wpdb->postmeta WHERE meta_key = ‘_wp_attachment_metadata’ AND meta_value LIKE %s AND post_id <> %d”, ‘%’ . $wpdb->esc_like( $meta[‘thumb’] ) . ‘%’, $post_id)) ) {
  8. $thumbfile = str_replace(basename($file), $meta[‘thumb’], $file);
  9. /** This filter is documented in wp-includes/functions.php */
  10. $thumbfile = apply_filters( ‘wp_delete_file’, $thumbfile );
  11.             @ unlink( path_join($uploadpath[‘basedir’], $thumbfile) );
  12.         }
  13.     }
  14.     …
  15. }

$meta[‘thumb’]来自与数据库,是图片的属性之一。代码未检查$meta[‘thumb’]的内容,直接带入unlink函数,如果$meta[‘thumb’]可控则可导致文件删除。

文件/wp-admin/post.php中:

  1. switch($action) {
  2.     case ‘editattachment’:
  3.         check_admin_referer(‘update-post_’ . $post_id);
  4.         …
  5.         // Update the thumbnail filename
  6.         $newmeta = wp_get_attachment_metadata( $post_id, true );
  7.         $newmeta[‘thumb’] = $_POST[‘thumb’];
  8.         wp_update_attachment_metadata( $post_id$newmeta );

$newmeta[‘thumb’]来自于$_POST[‘thumb’],未经过滤直接将其存入数据库,即上一步的$meta[‘thumb’]可控。

修复建议:
可将下面的代码加载到当前主题的function.php中进行弥补:

  1. add_filter( ‘wp_update_attachment_metadata’, ‘rips_unlink_tempfix’ );  
  2.   
  3. function rips_unlink_tempfix( $data ) {  
  4.     if( isset($data[‘thumb’]) ) {  
  5.         $data[‘thumb’] = basename($data[‘thumb’]);  
  6.     }  
  7.   
  8.     return $data;  
  9. }  

原创文章,作者:老D,如若转载,请注明出处:https://laod.cn/4830.html

(0)
上一篇 2018-07-04 14:00
下一篇 2018-07-06 19:16

相关推荐

发表回复

登录后才能评论

评论列表(3条)

  • mottowang
    mottowang 2018-07-11 17:06

    此漏洞需要登录,所以基本还是安全的吧

  • Flavia
    Flavia 2018-07-06 10:08

    大佬,刚更新完4.9.7才看到,请问还需要添加吗