WordPress CMS 未修复漏洞安全通告
发布时间 2018-06-27漏洞编号和级别
CVE-2018-12895 高危 CVSS分值:官方未评定
影响范围
该漏洞影响所有WordPress CMS版本,包括最新版本v4.9.6。
漏洞概述
利用此漏洞使攻击者能够删除WordPress安装的任何文件(+ PHP服务器上的任何其他文件,PHP进程用户具有适当的删除权限)。 除了删除整个WordPress安装的可能性(如果没有当前备份可用会导致灾难性后果),攻击者可以利用任意文件删除功能绕过一些安全措施并在Web服务器上执行任意代码。 更确切地说,可以删除以下文件:
.htaccess: 通常,删除此文件不会有任何安全后果。 但是,在某些情况下, .htaccess 文件包含与安全相关的约束(例如,对某些文件夹的访问限制)。 删除此文件将会禁用这些安全限制。
index.php文件: 通常情况下,将空的 index.php 文件放置到目录中,以防止Web服务器无法执行的情况下的目录列表。 删除这些文件将为攻击者提供一份列表,列出受此措施保护的目录中的所有文件。
wp-config.php: 删除这个WordPress安装文件会在下次访问该网站时触发WordPress安装过程。 这是因为 wp-config.php 包含数据库凭证,如果没有它,WordPress的行为就好像它尚未安装。 攻击者可以删除该文件,使用管理员帐户选择的凭据进行安装过程,最后在服务器上执行任意代码。
漏洞验证
漏洞验证视频
http://player.youku.com/embed/XMzY4OTIzNDc4NA==
修复建议
漏洞发现者,发布了一个临时修补方法:
参考https://blog.ripstech.com/2018/wordpress-file-delete-to-code-execution/
Temporary Hotfix
时间线
2017年11月20日在Hackerone上向WordPress安全团队报告漏洞。
2017年11月22日这个漏洞被安全团队分类和验证。
2017年12月12日询问进展情况。
2017年12月18日Wordpress正在开发一个补丁程序。 要求发布日期。 没有反应。
2018年01月09日要求发布日期。没有反应。
2018年01月20日由于问题的严重性和缺乏沟通,被要求对Hackerone进行调解。
2018年01月24日WordPress安全团队估计需要6个月的时间才能修复。
2018年05月24日询问有关问题的进展和/或计划,并提醒我们尽快发布。没有反应。
2018年05月24日将推特DM发送给安全团队,以确保他们不会忽略Hackerone上的消息。
2018年06月26日报告结束后7个月以上仍未解决问题。
参考链接
https://blog.ripstech.com/2018/wordpress-file-delete-to-code-execution/
https://nvd.nist.gov/vuln/detail/CVE-2018-12895
京公网安备11010802024551号