WordPress 是著名的開源 CMS(內容管理) 系統。近日,在 4.0 版本以下的 WordPress 被發現存在跨站腳本漏洞 (XSS),新版本的 WordPress 已經修復了這些問題。為了安全起見,建議站長們儘早更新到 WP 新版本。
該漏洞是由芬蘭 IT 公司 Klikki Oy 的 CEO Jouko Pynnonen 發現的,只存在於 WordPress4.0 以下的版本中。據調查得知全球有 86% 的 WordPress 網站都感染了這一漏洞,也就意味着全球數百萬的網站都存在着潛在的危險。一些知名網站也使用了 WordPress 軟件,如 Time 、 UPS 、 NBC Sports 、 CNN 、 Techcrunch 和 FreeBuf:)
漏洞概述
WordPress 中存在一系列的跨站腳本漏洞,攻擊者利用跨站腳本偽造請求以欺騙用户更改登錄密碼,或者盜取管理員權限。
如 Jouko Pynnonen 解釋道:
當博客管理員查看評論時,評論中的漏洞代碼會自動在其 Web 瀏覽器上運行。然後惡意代碼會偷偷接管管理員賬户,從而執行管理員操作。
為了證明他們的觀點,研究人員創建了一個漏洞利用程序 (exploits) 。利用這個 exploits,他們創建了一個新的 WordPress 管理員賬户,改變了當前管理員密碼,並在服務器上執行了攻擊 PHP 代碼。
漏洞分析
問題出在 WordPress 的留言處,通常情況下留言是允許一些 html 標籤的,比如、、等等,然而標籤中有一些屬性是在白名單裏的,比如標籤允許 href 屬性,但是 onmouseover 屬性是不允許的。
但是在一個字符串格式化函數 wptexturize() 上出現了問題,這個函數會在每一個留言上執行,函數的功能是把當前的字符轉義成 html 實體,比如把 「」 轉義為 「」 。為了防止幹擾 html 格式,wptexturize() 首先會以 html 標籤為標準把文本分成若干段,除了 html 標籤,還有方括號標籤比如 [code] 。分割的功能是由下列正則表達式完成的。
在 wp-includes/formatting.php 代碼的第 156 行:
$textarr = preg_split('/(<.*>|[.*])/Us', $text, -1,
PREG_SPLIT_DELIM_CAPTURE);
但是如果文章中混合着尖括號<> 和方括號 [] 會造成轉義混淆,導致部分代碼沒有轉義。
攻擊者可以通過這個漏洞在允許的 HTML 標籤中注入樣式參數形成 XSS 攻擊,比如通過建立一個透明的標籤覆蓋窗口,捕捉 onmouseover 事件。
漏洞利用測試
以下代碼可以用於測試
[<a href="test" title="]">[" NOT VULNERABLE]
修復建議
這一漏洞很容易被攻擊者利用,WordPress 官方建議用户儘快更新補丁,而在新版 WordPress 4.0.1 已經修復了所有的漏洞。
WordPress 官方於 11 月 20 日發佈了官方補丁,目前大多數的 WordPress 網站上都會收到補丁更新提醒通知;如果有一些其他原因使得你無法更新補丁,Klikki Oy 公司還提供了另外一個解決方案 (workaround) 可以修復該漏洞。
wptexturize 可以通過在 wp-includes/formatting.php 開頭增加一個返回參數避免這個問題:
function wptexturize($text) {
return $text; // ADD THIS LINE
global $wp_cockneyreplace;
額外提醒
如果你使用的是 WP-Statistics WordPress 插件,你也應該更新補丁。因為這些插件上也存在跨站腳本漏洞,攻擊者同樣可以實施攻擊。