当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-096647

漏洞标题:Wordpress解压缩路径审查不严可导致恶意插件执行

相关厂商:wordpress

漏洞作者: chenweikeng

提交时间:2015-02-10 22:53

修复时间:2015-05-16 14:13

公开时间:2015-05-16 14:13

漏洞类型:文件上传导致任意代码执行

危害等级:低

自评Rank:5

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-02-10: 细节已通知厂商并且等待厂商处理中
2015-02-15: 厂商主动忽略漏洞,细节向第三方安全合作伙伴开放
2015-04-11: 细节向核心白帽子及相关领域专家公开
2015-04-21: 细节向普通白帽子公开
2015-05-01: 细节向实习白帽子公开
2015-05-16: 细节向公众公开

简要描述:

Wordpress解压缩体系本身具有一定的安全能力,但是对于特定情况过滤不足,使得危险插件可能在尚未激活的情况下,就可以替换网站的关键程序。

详细说明:

Wordpress解压缩体系能够识别设备字符、MAC特殊路径等等,但是没有实现对../这样的路径的过滤,使得危险插件可能在尚未激活的情况下,就可以替换网站的关键程序。
在WP 3.9.1 下测试通过,用户可以通过WP上传插件,插件文件将解压在wp-content/plugins/XXX目录中。
我们可能会认为,zip压缩文件的每个文件,最终都能严格的释放在这个目录中。按照zip的规范,这是成立的。但是,zip包如果精心构造,这就不一定了。
举个例子,对于某个插件包,我们将里面的文件baidusubmit/readme.txt,路径修改为../../../../readme.txt,文件名大小能保持一样。
上传这个插件包时,Wordpress把readme.txt放到了很高等级的目录,比如,在我服务器public_html,解压后在ftp根目录。
FTP根目录
Readme.txt
Public_html
Wp_contents

….
一部分zip工具不能看出位于根目录的母目录的母目录的readme.txt,例如Windows 8自带的压缩文件浏览。2345压缩似乎是可以的。这主要是设计原理不同。
我认为,文件可以挪动到非插件位置并不安全,特别是在插件还“未激活”的情况下。

漏洞证明:

修复方案:

Wordpress 内置的解压类应该针对 ../ 这种符号做处理。

版权声明:转载请注明来源 chenweikeng@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-05-16 14:13

厂商回复:

风险存在,但攻击前提较高,需要有网站服务器管理方的配合,原则上讲不成立.

最新状态:

暂无


漏洞评价:

评论

  1. 2015-02-10 22:57 | 泳少 ( 普通白帽子 | Rank:231 漏洞数:79 | ★ 梦想这条路踏上了,跪着也要...)

    0day的节奏啊

  2. 2015-02-11 09:50 | light ( 普通白帽子 | Rank:261 漏洞数:48 | 精华漏洞数:36 | WooYun认证√ 艺术系教授 ...)

    版本?

  3. 2015-02-11 13:38 | chenweikeng ( 路人 | Rank:0 漏洞数:1 | 中国科学技术大学,Blooping 实验室 & 信息...)

    @泳少 = = 很小的一个问题,只是说插件刚安装没激活就可以攻击了。用不了。

  4. 2015-02-13 13:46 | cncert国家互联网应急中心(乌云厂商)

    你好:感谢您对CNVD的支持,请协助CNVD提供下制作特殊压缩包的方法和测试用例(附上截图),v以文档的形式邮件report@cert.org.cn邮箱。祝好!