WordPress修复一个远程代码执行 (RCE) 漏洞

上官雨宝2023-12-08 16:24:58

WordPress 近期发布了 6.4.2 更新版本,修复了一个远程代码执行 (RCE) 漏洞。据悉,该漏洞能够与另外一个安全漏洞形成”联动“,允许威胁攻击者在目标网站上运行任意 PHP 代码。

WordPress 是一种非常流行的开源内容管理系统(CMS),主要用于创建和管理网站,目前已经有 8 亿多个网站使用它,约占互联网上所有网站的 45%。然而,该项目的安全团队在 WordPress core 6.4 中发现了一个面向属性编程(POP)链漏洞,在某些条件下,该漏洞可允许未经授权的威胁攻击者执行任意 PHP 代码。

POP 链”要求“威胁攻击者控制反序列化对象的所有属性,而 PHP 的 unserialize() 函数正好可以做到这一点,一旦这样操作的话,威胁攻击者有可能通过控制发送到 megic 方法(如"_wakeup()")的值来劫持应用程序的流程。值得一提的是,这个安全问题需要受害目标网站上存在 PHP 对象注入漏洞(可能存在于插件或主题附加组件中)才能产生最恶劣的影响。

WordPress 方面指出,该远程代码执行漏洞虽然在内核中无法直接被攻击者利用,但安全团队认为如果与某些插件结合使用,尤其是在多站点安装中,就有可能造成严重后果。

Wordfence 的 WordPress 安全专家的 PSA 提供了有关该安全问题的一些技术细节,并解释称该安全问题出现在 WordPress 6.4 中引入的“WP_HTML_Token”类中,以改进块编辑器中的 HTML 解析,该类包含一个“__destruct”magic 方法,该方法使用“call_user_func”执行在“on_decurt”属性中定义的函数,并将“bookmark_name”作为参数。

最后, 研究人员强调,威胁攻击者能够利用对象注入漏洞,轻松控制这些属性来执行任意代码。

有条件执行回调函数的类析构函数(Patchstack)

尽管该安全漏洞本身可能并不严重,但由于需要在已安装和活动的插件或主题上注入对象,WordPress 核心中存在可利用的 POP 链会显著增加 WordPress 网站的总体风险。Patchstack 针对 WordPress 和插件的安全平台发出的通知中强调,针对该问题的漏洞利用链已于几周前上传至 GitHub,随后被添加到用于 PHP 应用程序安全测试的 PHPGGC 库中。

最后,即使该漏洞只是潜在的安全问题,而且在某些特定情况下才可以被威胁攻击者利用,但安全研究人员还是建议管理员尽快更新到最新的 WordPress 版本。

参考文章:

https://www.bleepingcomputer.com/news/security/wordpress-fixes-pop-chain-exposing-websites-to-rce-attacks/
信息安全wordpress
本作品采用《CC 协议》,转载必须注明作者和本文链接
据悉,漏洞被追踪为 CVE-2023-2982,身份验证绕过漏洞影响包括 7.6.4 之前在内的所有插件版本。2023 年 6 月 2 日,相关组织负责任地发布了 7.6.5 版本,CVE-2023-2982 漏洞问题已于 2023 年 6 月 14 日得到解决。Wordfence 研究员 István Márton 表示 CVE-2023-2982 漏洞使未经身份认证的网络攻击者有可能获得对网站上任何账户的访问权,甚至包括用于管理网站的账户,但前提是攻击者知道或能够找到相关的电子邮件地址。好消息是,漏洞已于 2023 年 6 月 6 日发布的 4.6.0.1 版本中完成了修补。
漏洞态势根据国家信息安全漏洞库(CNNVD)统计,2021年9月份采集安全漏洞共1704个。本月接报漏洞17
根据国家信息安全漏洞库统计,2021年8月份采集安全漏洞共1911个。合计1633个漏洞已有修复补丁发布,本月整体修复率85.45%。截至2021年08月31日,CNNVD采集漏洞总量已达167566个。总体来看,本月整体修复率,由上月的88.29%下降至本月的85.45%。
多达 120 万 WordPress 客户的数据已在 GoDaddy的安全事件中暴露。
公开漏洞情况 本周CNNVD采集安全漏洞427个。本周国内厂商漏洞9个,友讯公司漏洞数量最多,有5个。本周共发布超危漏洞16个,高危漏洞144个,中危漏洞255个,低危漏洞12个。根据补丁信息统计,合计412个漏洞已有修复补丁发布,整体修复率为96.49%。目前,VMware官方已经发布漏洞修复补丁,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。
据悉,漏洞被追踪为 CVE-2023-2982,身份验证绕过漏洞影响包括 7.6.4 之前在内的所有插件版本。2023 年 6 月 2 日,相关组织负责任地发布了 7.6.5 版本,CVE-2023-2982 漏洞问题已于 2023 年 6 月 14 日得到解决。
世界上最大的域名注册商之一,网络注册商和托管公司GoDaddy周一向美国证券交易委员会(SEC)提交了一份文件,显示该公司多达120万个托管WordPress客户的数据已被未经授权的第三方访问。
国家信息安全漏洞共享平台本周共收集、整理信息安全漏洞548个,其中高危漏洞158个、中危漏洞300个、低危漏洞90个。本周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数5952个,与上周环比减少12%。本周,CNVD发布了《Microsoft发布2022年8月安全更新》。详情参见CNVD网站公告内容。
近期,德国联邦信息安全办公室(BSI)建议用户卸载卡巴斯基反病毒软件,因为他们发现这家网络安全公司可能与俄罗斯持续入侵乌克兰期间的黑客攻击有关。
2021年9月13日-2021年9月19日 本周漏洞态势研判情况本周信息安全漏洞威胁整体评价级别为中。
上官雨宝
是水水水水是