未修补的Wordpress漏洞可能允许黑客重置管理员密码
发布时间:2022-03-23 10:48:02 341
相关标签:
WordPress漏洞是波兰法律黑客安全研究员Dawid Golunski去年7月发现的,并报告给WordPress安全团队,后者决定忽略这个问题,导致数百万网站易受攻击。
Golunski在今天发布的一份咨询报告中写道:“这个问题已被多次报告给WordPress安全团队,第一份报告于2016年7月发回。它是通过安全联系人电子邮件以及HackerOne网站直接报告的。”。“由于没有任何进展,在这种情况下,该公告最终在没有官方补丁的情况下向公众发布。”Golunski是在流行的开源PHPMailer库中发现一个严重漏洞的同一位研究人员,该漏洞允许恶意参与者在web服务器的上下文中远程执行任意代码,并危害目标web应用程序。
该漏洞存在于WordPress处理已启动的用户密码重置请求的方式中。
通常,当用户通过忘记密码选项请求重置密码时,WordPress会立即生成一个唯一的密码,并将其发送到已存储在数据库中的用户电子邮件ID。
什么是脆弱性?
在发送此电子邮件时,WordPress使用名为SERVER_NAME的变量获取服务器的主机名,以设置From/Return Path字段的值。
根据Golunski的说法,攻击者可以发送带有预定义自定义主机名值的伪造HTTP请求(例如攻击者mxserver.com),同时为目标管理员用户启动密码重置过程。
由于恶意HTTP请求中的主机名是攻击者控制的域,因此密码重置电子邮件中的“发件人”和“返回路径”字段将被修改,以包含与攻击者的域关联的电子邮件ID,即。wordpress@attacker-mxserver。com,而不是wordpress@victim-域名。通用域名格式。
Golunski说:“由于修改了主机头,服务器名称将被设置为攻击者选择的主机名。因此,Wordpress将把以下头和电子邮件正文传递给/usr/bin/sendmail包装器。”。不要在这里感到困惑:您应该注意,密码重置电子邮件将仅发送到受害者的电子邮件地址,但由于“发件人”和“返回路径”字段现在指向攻击者的电子邮件ID,因此在以下情况下,攻击者也可以接收重置代码:
- 如果受害者回复了该电子邮件,则会将其发送给攻击者的电子邮件ID(在“发件人”字段中提到),其中包含消息历史记录中的密码重置链接。
- 如果由于某种原因,受害者的电子邮件服务器关闭,密码重置电子邮件将自动返回到“返回路径”字段中提到的电子邮件地址,该地址指向攻击者的收件箱。
- 在另一种可能的情况下,为了强制检索回退电子邮件,攻击者可以对受害者的电子邮件服务器执行DDoS攻击或发送大量电子邮件,从而使受害者的电子邮件帐户无法再接收任何电子邮件。
Golunski在电子邮件中告诉《黑客新闻》:“CVE-2017-8295攻击可能是在用户交互(用户点击“回复”按钮)的情况下进行的,也可能是在没有用户交互(垃圾邮件受害者的邮箱超过了他们的存储配额)的情况下进行的。”。出于显而易见的原因,这不是一种可靠的方法,但在目标攻击的情况下,老练的黑客可以成功地利用此漏洞。
成功利用此漏洞所依赖的另一个值得注意的事实是,即使WordPress网站存在缺陷,也不是所有web服务器都允许攻击者通过服务器名称头修改主机名,包括托管在任何共享服务器上的WordPress。
Golunski说:“可以通过HTTP请求的主机头在Apache Web服务器的默认配置(最常见的WordPress部署)上操纵服务器名称服务器头。”。由于该漏洞现已公开披露,流行的CMS公司没有提供补丁,因此建议WordPress管理员更新其服务器配置,以使UseCononicalName能够强制执行静态/预定义的服务器名称值。
特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报