未修补的WordPress漏洞使攻击者能够完全控制您的网站

上周，我们收到了一条关于WordPress core中一个未修补漏洞的提示，该漏洞可能允许低权限用户劫持整个网站，并在服务器上执行任意代码。

由RIPS Technologies GmbH的研究人员发现经过身份验证的任意文件删除“该漏洞在7个月前向WordPress安全团队报告，但仍未修补，并影响WordPress的所有版本，包括当前的4.9.6。

当用户永久删除上传图像的缩略图时，WordPress在后台运行的核心功能之一存在该漏洞。

研究人员发现，缩略图删除功能可以接受未经初始化的用户输入，如果修改，可以允许至少拥有作者有限权限的用户从网站主机上删除任何文件，否则应该只允许服务器或网站管理员使用。

至少一个作者帐户的要求在一定程度上自动降低了该漏洞的严重性，恶意内容贡献者或黑客可能会利用该漏洞，通过钓鱼、密码重用或其他攻击以某种方式获得作者的凭据。

研究人员表示，利用该漏洞，攻击者可以从服务器上删除任何关键文件，如“.htaccess”，该服务器通常包含与安全相关的配置，以试图禁用保护。

除此之外，删除“可湿性粉剂配置。php“文件—；WordPress安装中最重要的配置文件之一，包含数据库连接信息—；可能会迫使整个网站返回安装屏幕，据称允许攻击者从浏览器重新配置网站，并完全接管其控制权。

但是，需要注意的是，由于攻击者无法直接读取wp config的内容。php文件要知道现有的“数据库名”、“mysql用户名”及其“密码”，他可以使用自己控制的远程数据库服务器重新设置目标站点。

一旦完成，攻击者可以创建一个新的管理员帐户，并完全控制网站，包括在服务器上执行任意代码的能力。

研究人员说：“除了有可能删除整个WordPress安装，如果没有当前的备份，这可能会造成灾难性的后果外，攻击者还可以利用任意文件删除的能力来规避一些安全措施，并在web服务器上执行任意代码。”。

在研究人员发布的一段概念验证视频中，如上所示，该漏洞按照描述完美运行，并迫使该网站重新安装屏幕。

然而，到目前为止，网站管理员不应该因为这个漏洞而惊慌失措，可以手动应用研究人员提供的修补程序。

我们预计WordPress安全团队将在即将发布的CMS软件版本中修补此漏洞。