WordPress <= 4.9.6 任意文件删除漏洞 修复方法

  • A+
所属分类:网络安全

近日RIPS曝出wordpress直至 4.9.6的版本依然存在一个任意文件删除漏洞,拥有author及类似权限的wordpress站点受到此漏洞威胁,攻击者可通过构造附件的'thumb'路径造成任意文件删除。严重的后果将导致攻击者获取站点管理员权限进而控制服务器。

Wordpress <= 4.9.6 任意文件删除漏洞 修复方法

漏洞原理与危害
该漏洞出现的原因是由于在WordPress的wp-includes/post.php文件中wp_delete_attachement()函数在接收删除文件参数时未进行安全处理,直接进行执行导致。

  1. function wp_delete_attachment( $post_id$force_delete = false ) {
  2.     ...
  3. $meta = wp_get_attachment_metadata( $post_id );
  4.     ...
  5. if ( ! emptyempty($meta['thumb']) ) {
  6. // Don't delete the thumb if another attachment uses it.
  7. if (! $wpdb->get_row( $wpdb->prepare( "SELECT meta_id FROM $wpdb->postmeta WHERE meta_key = '_wp_attachment_metadata' AND meta_value LIKE %s AND post_id <> %d", '%' . $wpdb->esc_like( $meta['thumb'] ) . '%', $post_id)) ) {
  8. $thumbfile = str_replace(basename($file), $meta['thumb'], $file);
  9. /** This filter is documented in wp-includes/functions.php */
  10. $thumbfile = apply_filters( 'wp_delete_file', $thumbfile );
  11.             @ unlink( path_join($uploadpath['basedir'], $thumbfile) );
  12.         }
  13.     }
  14.     ...
  15. }

$meta['thumb']来自与数据库,是图片的属性之一。代码未检查$meta['thumb']的内容,直接带入unlink函数,如果$meta['thumb']可控则可导致文件删除。

文件/wp-admin/post.php中:

  1. ...
  2. switch($action) {
  3. ...
  4.     case 'editattachment':
  5.         check_admin_referer('update-post_' . $post_id);
  6.         ...
  7.         // Update the thumbnail filename
  8.         $newmeta = wp_get_attachment_metadata( $post_id, true );
  9.         $newmeta['thumb'] = $_POST['thumb'];
  10.         wp_update_attachment_metadata( $post_id$newmeta );
  11. ...

$newmeta['thumb']来自于$_POST['thumb'],未经过滤直接将其存入数据库,即上一步的$meta['thumb']可控。

修复建议:
可将下面的代码加载到当前主题的function.php中进行弥补:

  1. add_filter( 'wp_update_attachment_metadata', 'rips_unlink_tempfix' );  
  2.   
  3. function rips_unlink_tempfix( $data ) {  
  4.     if( isset($data['thumb']) ) {  
  5.         $data['thumb'] = basename($data['thumb']);  
  6.     }  
  7.   
  8.     return $data;  
  9. }  
老D

发表评论

您必须才能发表评论!

目前评论:3   其中:访客  2   博主  1

    • avatar mottowang 0

      此漏洞需要登录,所以基本还是安全的吧

      • avatar Flavia 1

        大佬,刚更新完4.9.7才看到,请问还需要添加吗