Websecurity - Веб безпека

Раніше я вже писав про численні уразливості в WordPress 2 та 3, а зараз повідомляю про Code Execution уразливість в WordPress, яку я виявив 18.04.2011 (хоча цю проблему я став досліджувати ще з 2006 року, як почав використовувати WP).

Можлива Code Execution атака в WordPress через аплоадер. Атака може бути проведена користувачами з правами Author, Editor та Administrator.

В WordPress 2.5 - 2.8.4 можна завантажувати php скрипти (1.php) в Media Library. В 2.5 - 2.7.1 атака можлива лише для Administrator. Для Author та Editor не можна завантажити ні 1.php, ні через подвійні розширення атака не спрацює.

В версії 2.8.5 це було заборонено також і для Administrator. І хоча в 2.8 - 2.8.5 для Author та Editor (а для Administrator в 2.8.5) не можна завантажити 1.php, зате можна завантажити 1.php.txt.

При тому, що в WP 2.0 - 2.0.11 (де не було Media Library) для усіх ролей не можна було завантажувати файли з php розширенням (та обхідні методи не працювали). Як і в версіях 2.1.x, 2.2.x і 2.3.x. Лише в WordPress 2.2 Alexander Concha знайшов уразливість, що дозволяла завантажувати файли з php розширенням (вона стосується тільки версій WordPress 2.2 та WordPress MU <= 1.2.2).

В версіях 2.8.6 і вище це вже заборонено. Атака через подвійні розширення (1.php.txt чи 1.asp;.txt) не спрацює, але можна використати 1.phtml.txt (для всіх трьох ролей) для виконання коду.

Уразливі версії WordPress 2.5 - 3.1.1. Перевірено в WordPress 2.6.2, 2.7, 2.8, 2.8.4, 2.8.5, 2.8.6, 2.9.2, 3.0.1 і 3.1.1. Атака через подвійне розширення спрацює на Apache з відповідною конфігурацією.

P.S.

Свіжевипущений WP 3.1.2 також уразливий.

This entry was posted on 16:01 26.04.2011 and is filed under Новини сайту, Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.