WordPress 是著名的開源 CMS(內容管理) 系統。近日,在 4.0 版本以下的 WordPress 被發現存在跨站指令碼漏洞 (XSS),新版本的 WordPress 已經修復了這些問題。為了安全起見,建議站長們儘早更新到 WP 新版本。
該漏洞是由芬蘭 IT 公司 Klikki Oy 的 CEO Jouko Pynnonen 發現的,只存在於 WordPress4.0 以下的版本中。據調查得知全球有 86% 的 WordPress 網站都感染了這一漏洞,也就意味著全球數百萬的網站都存在著潛在的危險。一些知名網站也使用了 WordPress 軟體,如 Time 、 UPS 、 NBC Sports 、 CNN 、 Techcrunch 和 FreeBuf:)
漏洞概述
WordPress 中存在一系列的跨站指令碼漏洞,攻擊者利用跨站指令碼偽造請求以欺騙使用者更改登入密碼,或者盜取管理員許可權。
如 Jouko Pynnonen 解釋道:
當部落格管理員檢視評論時,評論中的漏洞程式碼會自動在其 Web 瀏覽器上執行。然後惡意程式碼會偷偷接管管理員賬戶,從而執行管理員操作。
為了證明他們的觀點,研究人員建立了一個漏洞利用程式 (exploits) 。利用這個 exploits,他們建立了一個新的 WordPress 管理員賬戶,改變了當前管理員密碼,並在伺服器上執行了攻擊 PHP 程式碼。
漏洞分析
問題出在 WordPress 的留言處,通常情況下留言是允許一些 html 標籤的,比如、、等等,然而標籤中有一些屬性是在白名單裡的,比如標籤允許 href 屬性,但是 onmouseover 屬性是不允許的。
但是在一個字串格式化函式 wptexturize() 上出現了問題,這個函式會在每一個留言上執行,函式的功能是把當前的字元轉義成 html 實體,比如把 「」 轉義為 「」 。為了防止幹擾 html 格式,wptexturize() 首先會以 html 標籤為標準把文字分成若干段,除了 html 標籤,還有方括號標籤比如 [code] 。分割的功能是由下列正規表示式完成的。
在 wp-includes/formatting.php 程式碼的第 156 行:
$textarr = preg_split('/(<.*>|[.*])/Us', $text, -1,
PREG_SPLIT_DELIM_CAPTURE);
但是如果文章中混合著尖括號<> 和方括號 [] 會造成轉義混淆,導致部分程式碼沒有轉義。
攻擊者可以透過這個漏洞在允許的 HTML 標籤中注入樣式引數形成 XSS 攻擊,比如透過建立一個透明的標籤覆蓋視窗,捕捉 onmouseover 事件。
漏洞利用測試
以下程式碼可以用於測試
[<a href="test" title="]">[" NOT VULNERABLE]
修復建議
這一漏洞很容易被攻擊者利用,WordPress 官方建議使用者儘快更新補丁,而在新版 WordPress 4.0.1 已經修復了所有的漏洞。
WordPress 官方於 11 月 20 日釋出了官方補丁,目前大多數的 WordPress 網站上都會收到補丁更新提醒通知;如果有一些其他原因使得你無法更新補丁,Klikki Oy 公司還提供了另外一個解決方案 (workaround) 可以修復該漏洞。
wptexturize 可以透過在 wp-includes/formatting.php 開頭增加一個返回引數避免這個問題:
function wptexturize($text) {
return $text; // ADD THIS LINE
global $wp_cockneyreplace;
額外提醒
如果你使用的是 WP-Statistics WordPress 外掛,你也應該更新補丁。因為這些外掛上也存在跨站指令碼漏洞,攻擊者同樣可以實施攻擊。