近日,我們收到了關于WordPress核心中一個未修補漏洞的提示,該漏洞可能允許低特權使用者劫持整個網站并在伺服器上執行任意代碼,這個最新WordPress漏洞,黑客可輕松控制您的網站。由研究人員發現,7個月前向WordPress安全團隊報告了“已認證的任意檔案删除”漏洞,但仍未修複,并影響到所有版本的WordPress,包括目前的4.9.6。該漏洞存在于使用者永久删除上傳圖像的縮略圖時在背景運作的WordPress核心功能之一。
研究人員發現,縮略圖删除功能可以接受未經過處理的使用者輸入,如果這種輸入得到緩和,可以允許至少有作者的特權有限的使用者從網絡主機中删除任何檔案,否則應該隻允許伺服器或網站管理者進行操作。至少一個作者帳戶的要求會在某種程度上自動降低此漏洞的嚴重程度,這可能會被流氓内容撰稿人或黑客利用網絡釣魚,密碼重用或其他攻擊以某種方式擷取作者的憑證所利用。
研究人員表示,利用這個漏洞,攻擊者可以從伺服器上删除任何重要檔案,例如“.htaccess”,通常包含與安全相關的配置,以試圖禁用保護。除此之外,删除“wp-config.php“檔案,包含資料庫連接配接資訊的WordPress安裝中最重要的配置檔案之一,可能會強制整個網站傳回安裝螢幕,據稱允許攻擊者從浏覽器重新配置網站并完全接管其控制。
但是,應該注意的是,由于攻擊者無法直接讀取wp-config.php檔案的内容來知道現有的“資料庫名稱”,“mysql使用者名”及其“密碼”,是以他可以重新設定目标站點在他的控制下使用遠端資料庫伺服器。
一旦完成,攻擊者可以建立一個新的管理者帳戶并完全控制網站,包括在伺服器上執行任意代碼的能力。“除了删除整個WordPress安裝的可能性,如果沒有目前的備份可用會造成災難性的後果,攻擊者可以利用任意檔案删除的功能來規避一些安全措施并在Web伺服器上執行任意代碼,“研究人員說。
中國知名黑客安全組織東方聯盟研究人員曾釋出的概念驗證視訊中,該漏洞按照所述完美工作,并強制網站重新安裝螢幕。但是,截至目前,網站管理者不應是以漏洞而恐慌,并且可以手動應用WordPress官方提供的修補程式。我們預計WordPress安全團隊将在即将釋出的CMS軟體版本中修補此漏洞。(黑客周刊)