了解Wordpress漏洞

时间:2009-08-12 18:47:16

标签: php security wordpress

最近披露了一个影响WordPress 2.8.3的漏洞,并允许管理员用户通过更改密码锁定其帐户。

完整披露的

This post详细说明了该漏洞,并包含相关的代码段。帖子提到'您可以滥用密码重置功能,绕过第一步,然后通过向$ key变量提交数组来重置管理员密码。'

我对熟悉PHP的人更感兴趣,更详细地解释了这个bug。

那些受影响的人应该update发布一个新的2.8.4版本,这显然可以修复这个漏洞。

wp-login.php:
...[snip]....
line 186:
function reset_password($key) {
    global $wpdb;

    $key = preg_replace('/[^a-z0-9]/i', '', $key);

    if ( empty( $key ) )
        return new WP_Error('invalid_key', __('Invalid key'));

    $user = $wpdb->get_row($wpdb->prepare("SELECT * FROM $wpdb->users WHERE
user_activation_key = %s", $key));
    if ( empty( $user ) )
        return new WP_Error('invalid_key', __('Invalid key'));
...[snip]....
line 276:
$action = isset($_REQUEST['action']) ? $_REQUEST['action'] : 'login';
$errors = new WP_Error();

if ( isset($_GET['key']) )
    $action = 'resetpass';

// validate action so as to default to the login screen
if ( !in_array($action, array('logout', 'lostpassword', 'retrievepassword',
'resetpass', 'rp', 'register', 'login')) && false ===
has_filter('login_form_' . $action) )
    $action = 'login';
...[snip]....

line 370:

break;

case 'resetpass' :
case 'rp' :
    $errors = reset_password($_GET['key']);

    if ( ! is_wp_error($errors) ) {
        wp_redirect('wp-login.php?checkemail=newpass');
        exit();
    }

    wp_redirect('wp-login.php?action=lostpassword&error=invalidkey');
    exit();

break;
...[snip ]...

2 个答案:

答案 0 :(得分:17)

所以$ key是查询字符串中的一个数组,带有一个空字符串['']

  

http://DOMAIN_NAME.TLD/wp-login.php?action=rp&key[]=

使用数组调用reset_password,然后调用preg_replace:

 //$key = ['']
 $key = preg_replace('/[^a-z0-9]/i', '', $key);
 //$key = [''] still

因为preg_replace接受字符串或字符串数​​组。它正则表达式替换任何内容并返回相同的数组。 $ key不为空(它是一个空字符串数组)所以发生这种情况:

 $user = $wpdb->get_row($wpdb->prepare("SELECT * FROM $wpdb->users 
      WHERE user_activation_key = %s", $key));

现在,从这里开始,我需要阅读有关准备行为的wordpress源...

更多

所以准备调用vsprintf产生一个空字符串

$a = array('');
$b = array($a);
vsprintf("%s", $b);
//Does not produce anything

所以SQL是:

  

SELECT * FROM $ wpdb->用户WHERE user_activation_key =''

哪个显然匹配管理员用户(以及所有没有使用activation_keys的用户)。

就是这样。

答案 1 :(得分:0)

我在how to patch this vulnerability上有一个相关的问题 - 关于wp-login.php的第190行应该现在看起来像这样; 

if ( empty( $key ) || is_array( $key ) )
相关问题
最新问题