WordPress插件漏洞影响超过100万个网站

WordPress插件漏洞影响超过100万个网站

作为Sucuri服务器防火墙(WAF)漏洞的新科研项目的一部分，为了搜索潜在的安全风险，人们已经在财务上审计了几个开源项目。在对WordPress的“NextGEN”相册软件进行财务审计时，人们发现了一个严重的SQL引入漏洞。该漏洞允许未经授权的用户从受害者网站的数据库查询中窃取数据信息，包括用户的敏感信息。目前，已经有超过一百万个WordPress网站安装了这款黑客易软件。

你有危险吗？

攻击者必须使用至少两个标准来利用此漏洞:

你在你的网站中应用了“下一代基本标记云图库”吗？

你允许你的网站的用户提交文章(贡献者)来评论吗？

当你的网站满足这两个条件中的一个，那么你就已经有风险了。

该缺陷是，NextGENphotoalbum允许用户在WordPress中实现SQL查询时输入未经考虑的数据信息，这实质上意味着立即将用户输入添加到SQL查询中。通过这种攻击方式，攻击者可以窃取登录密码的哈希和WordPress的其他秘密信息。

技术应用

你不必总是相信输入数据信息——这是一条黄金法则。如果你遵守规则，它将是安全的。在许多情况下，人们必须问自己许多简单的问题:

输入的数据是否足够和安全？

有没有想太多？

人们是否遵循了所有实际结构的标准和最佳实践？

WordPress应用PHP的vsprintf函数，用在$wpdb->:SQL语句在prepare()函数中准备充分，也就是说要把备份字符串数组和输入值作为SQL语句的主要参数。这导致人们得出结论，向备份字符串数组显示用户的输入从来都不是一个好主意，因为它不会担心字符串数组，并且会包含合理的sprintf/printf命令。

这也是为什么这样，get_term_ids_for_tags()引起了人们的注意:

上面的代码可以在下面的相对路径中找到:

nextgen-gallery/products/photocrati_nextgen/modules/nextgen_gallery_display/package.module.nextgen_gallery_display.PHP

在这段源代码中，人们注意到“$container_ids”的字符串数组是由标签输入构建的，它的值没有得到适当的考虑。对于SQL的介绍来说，这样是安全的，但是不能屏蔽随机备份字符串数组命令/输入，在WordPress数据库中查询$wpdb-->。prepare()模式可能会导致问题。

$wpdb->；准备和冲刺f

在prepare()代码中，人们注意到在最初的SQL代码实现之前有一些变化。实际的变化是:如果在一个句子中发现了%s，就会用“%s”替换。同样，人们看到改变后会传递给vsprintf函数，也就是说人们引入的所有合理的备份字符串数组都会被求解。从PHP的sprintf函数文本文档中，人们知道主要参数会被交换。当输入数据信息没有添加到备份字符串数组时，会出现如下问题:

1.用户有意将以下输入引入备份字符串数组/搜索:

2.转换后的搜索将如下所示:

3.当传输到准备()模式时，是否会更改为:

(%s将成为“%s”)。

4.因此，当生成的备份字符串数组传输到vsprintf函数时，生成的SQL查询语句具有以下文件格式:

如上图，这意味着人们多保存了一个'标签，摆脱了人们字符串数组的单引号编码序列，把人们转换成的[any_text2]字符串数组变成了SQL搜索的一部分。

应用计划方案

在软件的源代码中，发现有两个区域函数会建立一个“$container_ids”的字符串数组，分别是:

当应用识别库的短代码时。它必须有一个正确的验证用户来执行此攻击。

当浏览一个“NextGENBasicTagCloud”相册的logo时，有意的访问者可以通过稍微改变相册(网站中的相册)的URL来进行攻击。

有了这种专业知识，未经授权的攻击者就可以在SQLquery中添加额外的sprintf/printf命令，并使用$wpdb-->:prepare()的个人行为将攻击者 *** 纵的代码添加到执行的句子中。

最终攻击负载(应用标记云模式)类似于以下内容:

(http://target.URL/2017/01/17/new-one/nggallery/tags/test%1$%s))或1=1#)

或(http://target.url/2017/01/17/new-one/nggallery/tags/test%1$%s))或1=2#)

基础

这是一个严重的漏洞。当您应用易受攻击的软件版本号时，请尽快更新。