新曝WordPress REST API内容注入漏洞详解-阿里云开发者社区

新曝WordPress REST API内容注入漏洞详解

2017-08-01 1844

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

简介：

近日，来自Sucuri的研究人员发现WordPress存在重大漏洞，漏洞在于WordpressREST API，成功利用该漏洞可删除页面或修改页面内容。官方很快发布了升级版Wordpress，但很多管理员没有及时升级，以至于被篡改的网页从最初的几千一路飙升到了150万，在此也提醒各位管理员尽快升级。

一、漏洞详情

1. 漏洞信息：

WordPress是一个以PHP和MySQL为平台的自由开源的博客软件和内容管理系统。在4.7.0版本后，REST API插件的功能被集成到WordPress中，由此也引发了一些安全性问题。近日，一个由REST API引起的影响WorePress4.7.0和4.7.1版本的漏洞被披露，该漏洞可以导致WordPress所有文章内容可以未经验证被查看，修改，删除，甚至创建新的文章，危害巨大。

2. 漏洞影响版本：

WordPress4.7.0、WordPress 4.7.1

3. 复现环境：

Apache 2.4

PHP 7.0

WordPress4.7.1

4.复现过程：

(1) 安装WordPress并配置REST API

① 配置Apache+PHP+Mysql的运行环境，下载含有漏洞版本的WordPress (https://wordpress.org/wordpress-4.7.1.tar.gz)并安装。

② 加载Apache的rewrite模块。

在Apache的配置文件中添加

LoadModule rewrite_module/usr/lib/apache2/modules/mod_rewrite.so

并在主配置文件中设置对应的WEB目录的AllowOverride为All

③设置WordPress站点为固定链接

在Settings->Permalinks中的Common Settings设置为非Plain模式。例如下图，我们设置为Day and name。

(2) 漏洞复现

①根据REST API文档，修改文章内容的数据包构造如下：

可以看到，不带任何验证信息会提示不允许编辑文章

②构造可利用的数据包：

当url为/wp-json/wp/v2/posts/1?id=1a时，可以看到，已经成功跳过验证看到文章内容了。

二、漏洞发现之技术细节

Sucuri研究人员的漏洞发现过程始于./wp-includes/rest-api/endpoints/class-wp-rest-posts-controller.php

这里有几件事值得注意。注册的路由用于用数字填充ID请求参数。比如，如果向/wp-json/wp/v2/posts/1234 –发送请求，则ID参数被设置为1234。

这种行为本身不失为一种防止攻击者编制恶意ID值的好方法，但是当查看REST API如何管理访问时，研究人员很快发现其给予$_GET 和$_POST值的优先级高于路由的正则表达式生成的值。这使攻击者可以发送/wp-json/wp/v2/posts/1234?id=12345helloworld这样的请求，这样会将12345helloworld分配到ID参数，这样包含的不仅仅是数字。

研究人员进一步查看了各种回调(上面截图中)，其中一个引起了研究人员的注意：update_item及其权限检查方法：update_item_permissions_check。