User Post Gallery 是WordPress的一個第三方插件,該插件被許多網站營運者使用,由于代碼存在遠端指令執行漏洞,被許多黑客利用進行攻擊網站,導緻許多安裝wordpress User Post Gallery插件的網站都深受影響,可導緻伺服器被提權拿到root管理權限,CVE編号:CVE-2022-4060。
該漏洞被爆出後,直至到今天2023年2月1号,官網也未對該漏洞進行修複,wordpress官網已經對該插件停止了對外下載下傳,我們SINE安全通過之前的User Post Gallery老版本源碼,複現了此次漏洞,并對該源代碼進行了安全審計,發現确實存在遠端代碼執行漏洞,漏洞的具體細節我們來看下wp-upg.php代碼裡的upg_datatable變量,如下圖:
從變量中可以看到從前端傳參到Field後,将以:來進行參數的分割,其中的第2值放到$val,第3個值放到$val_param1,第4個的值放到$val_param2,以此類推的看,第5個值是放到了$val_param3裡,其實這段代碼就是對請求的參數開展解析和指派的正常操作,我們再來繼續看後面的一些代碼,就知道到底是如何利用的,以及整體的代碼邏輯。
當變量值VAL是一個函數名的時候,從前端傳入的參數分别指派到3.4.5的值上去,在這個階段可導緻植入惡意的rce代碼到網站裡執行,導緻了該遠端代碼執行漏洞的産生,具體的利用poc如下:
http://127.0.0.1/admin-ajax.php?action=upg_datatable&field=field:exec:id:NULL:NULL。漏洞利用成功截圖如下:
以上是我們SINE安全的于濤技術對wordpress 漏洞進行的分析和安全審計,以及整體的漏洞複現過程,如果擔心您的代碼也存在漏洞,也可以與我們聯系,我們可提供源代碼的安全審計服務,我們人工對其進行安全審計,提前找到網站存在的漏洞,将損失降到最低,以免後期網站使用者量以及規模上來後再因為網站代碼存在漏洞而導緻損失就得不償失了。