网易首页 > 网易号 > 正文 申请入驻

分析WordPress远程执行代码漏洞CVE-2019-8942和CVE-2019-8943

0
分享至

WordPress拥有开源、功能丰富、用户友好的内容管理系统(CMS),为当今近33%的网站提供了强大的支持。这种受欢迎程度也使得它成为了网络犯罪的显著目标。可能WordPress的一个小漏洞就会为未来的数据泄露问题埋下严重隐患。此外,一些过时的网站使用不安全的第三方插件或组件也可能会带来安全问题。

2019年2月19日,RIPS科技公司的Simon Scannell发表了他关于WordPress中可能导致远程代码执行(RCE)的核心漏洞的发现,这些漏洞被指定为CVE-2019-8942和CVE-2019-8943。简单来说,如果能成功利用这些安全缺陷,且攻击者的身份权限至少在作者权限之上,那么攻击者就可以执行超文本预处理器(PHP)代码并获得完全的系统控制。受影响的WordPress版本包括版本5(5.0.1之前)和4(4.9.9之前)。这些漏洞也已披露给了WordPress的安全团队。

这篇文章旨在阐述漏洞的技术细节,比如潜在的攻击可能是什么样的,以及如何利用漏洞攻击一个WordPress站点。

具有作者权限的攻击者可以将嵌入在图像文件中的PHP代码上传到某个WordPress站点。上传的文件将保存在wp-content/ uploadfolder中;与此同时,在wp_postmeta表中也会有该图片信息的记录。

图1.显示CVE-2019-8942是如何被利用的

通过CVE-2019-8942,攻击者可以将_wp_attached_file的meta_key(用于检索存储在数据库中的值并显示它)修改为任意值。利用该漏洞需要发送post请求,一般正常的请求不会在请求中包含文件参数,而攻击者创建的请求中通过携带文件参数对_wp_attached_file的meta_key进行更新。如图3所示,同样的情况也可以在数据库表中观察到。

图2.显示PHP文件是如何嵌入的(方框圈出部分)

图3.显示数据库中已修改的文件名(方框圈出部分)

WordPress 4.9.9和5.0.1之前的版本没有检查哪些MetaData字段通过请求更新。攻击者可以利用这一点更新_wp_attached_file 的meta_key值或更改为任意值。

而在补丁版本中,在admin/include / POST .php中添加了新函数_wp_get_allowed_postdata(),以检查在编辑请求中是否发送了“file”,“meta_input”或“guid”,并在更新POST请求之前将其删除。图3显示,利用CVE-2019-8942可以让黑客修改数据库中的文件名,类似于路径遍历(例如evil1.jpg?../和../evil1.jpg)。

攻击者可以将CVE-2019-8942的攻击与另一个漏洞CVE-2019-8943连接起来,后者可以让攻击者将上传的文件移动到可以成功执行嵌入式PHP代码的任意目录中。

图4显示了CVE-2019-8943的作用。在wp-admin/include /image.php中的wp_crop_image函数(允许WordPress用户将图像裁剪到给定的大小或分辨率)中,php在保存文件之前不会验证.dst(绘图表文件)的文件路径。

图4.wp_crop_image函数没有验证.dst文件路径

图5.wp_crop_image函数试图访问本地文件

在可能的攻击场景中,一旦修改了meta_key中的文件名,文件(例如图3中的evil1.jpg?../和../evil1.jpg)将不会在upload目录中找到。因此,它将回退到wp_crop_image函数中的下一个If条件,并尝试通过URL访问该文件。此步操作需要在WordPress站点中安装文件复制插件。请求如下所示:

hxxps[:]//vulenrablewesbite/wp-content/uploads/evil1.jpg?../../evil1.jpg

在加载图像时,“?”之后的路径将被忽略。图像加载后,攻击者可以裁剪图像,它将遵循路径遍历并将其保存在任意目录中。

CVE-2019-8942作为CVE-2019-8943的前提条件,前者修补完善后,后者也将失去利用空间。这是因为_wp_attached_file中的meta_key首先需要更新或修改为路径遍历文件名,才能执行嵌入式PHP代码。

更重要的是,这些漏洞突出了开发人员通过设计实践安全性的重要性,管理员也需采用安全准则来减少其网站的攻击面。定期更新CMS或使用虚拟补丁、始终如一的检查网站及其基础设施或组件是否存在可利用的漏洞、执行最小特权原则,禁用或删除过时或易受攻击的插件。

特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。

Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.

相关推荐
热点推荐
73年,开国上将探望战友,发现他看病都没钱,县委:怀疑他是特务

73年,开国上将探望战友,发现他看病都没钱,县委:怀疑他是特务

我是斌哥哥
2024-06-30 13:48:11
41岁“哇哈哈千金”宗馥莉,终于为自己的“不婚不育”付出了代价

41岁“哇哈哈千金”宗馥莉,终于为自己的“不婚不育”付出了代价

削桐作琴
2024-10-31 07:20:02
成龙给张艺谋打电话:这个女孩我相中了,你要不要?不要就给我吧

成龙给张艺谋打电话:这个女孩我相中了,你要不要?不要就给我吧

瑶卿文史
2024-10-30 21:02:01
库尔斯克败局已定,泽连斯基为何拒不撤退?普京:来了就别想走了

库尔斯克败局已定,泽连斯基为何拒不撤退?普京:来了就别想走了

兵说
2024-10-31 23:24:34
太惨烈!哪吒被爆研发岗全员降薪,要靠周鸿祎拯救了?

太惨烈!哪吒被爆研发岗全员降薪,要靠周鸿祎拯救了?

雷科技
2024-10-31 11:57:19
央视体育主持人于嘉近照变化大,1980年出生却像70岁,疑跑步过量

央视体育主持人于嘉近照变化大,1980年出生却像70岁,疑跑步过量

花花lo先森
2024-10-30 09:02:03
成都武侯区一小区发生火灾,事发地餐馆老板:疑似地下停车场杂物起火

成都武侯区一小区发生火灾,事发地餐馆老板:疑似地下停车场杂物起火

极目新闻
2024-10-31 15:22:47
一场1-0踢出6连胜,意甲劲旅超越尤文,升到第4,德赫亚神扑救主

一场1-0踢出6连胜,意甲劲旅超越尤文,升到第4,德赫亚神扑救主

足球狗说
2024-11-01 03:47:50
日本战败后,长白山有两万多日军拒不投降,至今也没发现其踪影

日本战败后,长白山有两万多日军拒不投降,至今也没发现其踪影

知否否知
2024-10-31 15:01:44
致一人死亡,惠州一市政工程发生坍塌事故被挂牌督办

致一人死亡,惠州一市政工程发生坍塌事故被挂牌督办

南方都市报
2024-10-31 14:50:27
张玉凤晚年写回忆录,揭露国家最高机密:毛主席并非宣传的那样

张玉凤晚年写回忆录,揭露国家最高机密:毛主席并非宣传的那样

谢小龙聊历史
2024-10-24 23:35:08
续约1年,只打1场!广东后卫被放弃,杜锋重用黄荣奇+20岁小将

续约1年,只打1场!广东后卫被放弃,杜锋重用黄荣奇+20岁小将

体坛大事记
2024-10-31 17:12:03
刘亦菲腰臀比太绝:37岁似少女,胖一丝累赘、瘦一点没味

刘亦菲腰臀比太绝:37岁似少女,胖一丝累赘、瘦一点没味

喵喵娱乐团
2024-10-30 16:53:38
欧盟对华加征关税当天,中国将100亿美元大单送给欧盟竞争对手

欧盟对华加征关税当天,中国将100亿美元大单送给欧盟竞争对手

杨哥历史
2024-10-31 13:37:23
新警服真来了?网传新款警服试穿!

新警服真来了?网传新款警服试穿!

敢言先生
2024-10-15 15:59:29
上市三天文远知行跌破发行价,市场对自动驾驶失去耐心了吗?

上市三天文远知行跌破发行价,市场对自动驾驶失去耐心了吗?

金融界
2024-10-31 08:16:13
跨省调任,贵州任命两位空降正厅级干部

跨省调任,贵州任命两位空降正厅级干部

健身狂人
2024-10-31 19:08:16
南昌工学院男生残忍捅杀,女生惨叫求饶大喊:我错了,再也不敢了

南昌工学院男生残忍捅杀,女生惨叫求饶大喊:我错了,再也不敢了

你食不食油饼
2024-10-31 16:47:16
《色戒》拍摄内幕揭秘:梁朝伟,汤唯情绪过度导致导演困难重重!

《色戒》拍摄内幕揭秘:梁朝伟,汤唯情绪过度导致导演困难重重!

陈天宇
2024-10-27 21:47:25
央视曝光:这种床垫含1级致癌物!用越久越危险,家里有的赶紧扔

央视曝光:这种床垫含1级致癌物!用越久越危险,家里有的赶紧扔

名医在线网
2024-10-30 13:38:46
2024-11-01 07:22:44
嘶吼RoarTalk
嘶吼RoarTalk
不一样的互联网安全新视界
7604文章数 10518关注度
往期回顾 全部

头条要闻

吴秀波被列为“老赖” 涉案金额约2.16亿元

头条要闻

吴秀波被列为“老赖” 涉案金额约2.16亿元

体育要闻

广东VS山西前瞻:莫兰德施韦德迎首秀 11冠王剑指复仇大黑马

娱乐要闻

黄圣依再次选择不离引发炒作质疑

财经要闻

阿斯利康骗保案余波未止 多位药企高管被查

科技要闻

华为前三季利润下滑 任正非:我们还在挣扎

汽车要闻

腾势Z9 内饰官图首发 怀档设计/广州车展亮相

态度原创

手机
旅游
本地
公开课
军事航空

手机要闻

分析师表示iPhone 17将采用苹果自行设计的Wi-Fi 7芯片

旅游要闻

台湾“首来族”,四川145个景区对你们免除门票

本地新闻

云游中国|我与这座城市 合得来 不怕肥

公开课

AI如何揭开大自然和宇宙的奥秘

军事要闻

印度军方消息人士:中印士兵在边境交换糖果

无障碍浏览 进入关怀版