简介

WordPress是目前网络上最受欢迎的CMS。根据w3tech的资料显示，约有30％的网站都在使用它1。这种广泛的采用，也使其成为了网络犯罪分子非常感兴趣的一个目标。在这篇文章中，我们将讲述在WordPress内核中引入一个经认证的任意文件删除漏洞，这个漏洞可能会导致攻击者执行任意代码。在7个月前，我们向WordPress安全团队报告了这个漏洞，但至今依然没有得到修复。由于经过了这么长时间，WordPress官方都没有发布任何补丁或具体修复计划，所以我们决定公开这个事件。

受影响的版本

截止到本篇文章发送时，还没有补丁可防止此漏洞的使用。任何WordPress版本（包括当前的4.9.6版本），都容易受到该漏洞的影响。

如果要利用该漏洞，攻击者需要事先获得编辑和删除媒体文件的权限。因此，该漏洞可以通过对与作者权限相同的用户来提升权限，或者通过其他漏洞的错误配置来利用。

攻击带来的影响

利用此漏洞，使攻击者能够删除WordPress安装的任何文件（+ PHP服务器上的任何其他文件，PHP进程用户具有适当的删除权限）。除了删除整个WordPress安装文件对系统的影响（如果没有当前备份可用，会导致灾难性后果），攻击者可以利用任意文件删除功能绕过一些安全措施，并在Web服务器上执行任意代码。更确切地说，可以删除以下文件：

· .htaccess：一般来说，删除此文件不会有不安全的影响。但是，在某些情况下，.htaccess文件包含与安全相关的约束（例如，对某些文件夹的访问限制）。因此，删除此文件将会禁用这些安全限制。

· index.php文件：通常情况下，将空的index.php文件放置到目录中，以防止Web服务器无法执行的情况下的目录列表。如果删除这些文件则将为攻击者提供一份列表，列出受此措施保护的目录中的所有文件。

· wp-config.php：删除这个WordPress安装文件，会在下次访问该网站时触发WordPress安装过程。这是因为wp-config.php包含数据库凭证，如果没有它，WordPress的将认为它尚未安装。攻击者可以删除该文件，使用管理员帐户选择的凭据进行安装过程，最后在服务器上执行任意代码。

如需观看视频，请点击此处查看原文。

技术细节

当用户输入传递文件删除功能时，会发生任意文件删除漏洞。在PHP中，当unlink()调用该函数，并且用户输入可能会影响部分或整个参数$filename（表示要删除的文件的路径）时，会发生这种情况，而WordPress不会进行适当的处理。

在该wp-includes/post.php文件中找到了在WordPress Core中使这个漏洞成为可能的代码部分：

在wp_delete_attachement()上面显示的功能中，$meta[‘thumb’]呼叫中使用的内容unlink()未经过任何处理。这段代码的目的是在删除图像的同时删除图像的缩略图。在WordPress中通过媒体管理器上传的图像被表示为附属类型的帖子。该值$meta[‘thumb’]从数据库中检索，并保存为表示图像的文章的自定义字段2。因此，在数据库检索和关键函数调用之间使用unlink()，表示缩略图文件名的值不经过任何清理或检查。如果该值在保存到数据库之前也没有经过任何安全措施，我们将在下一个代码列表中看到情况，我们有一个二阶任意文件删除漏洞。

此代码片段/wp-admin/post.php代表了附件中属于附件的缩略图的文件名如何保存到数据库中。在从保存在$_POST[‘thumb’]数据库中的用户输入中检索和保存到数据库wp_update_attachment_metadata()之间没有任何安全措施，以确保该值代表正在编辑的附件的缩略图。$_POST[‘thumb’]对于任何文件的路径，这个值可以保存到WordPress上传目录的相对路径中，当附件被删除时，该文件将被删除，如第一列表中所示。

临时修复程序

在编写此篇文章时，此漏洞在WordPress内核中仍未被修复。正因为这样，我们开发了一个临时修复程序。通过将修复程序添加到functions.php当前活动的主题/子主题文件中，可以将修复程序集成到现有的WordPress安装中。

所有提供的修复程序都会挂接到wp_update_attachement_metadata()调用中，并确保为元值提供的数据thumb不包含任何使路径成为可能的部分。因此，不能删除与安全相关的任何文件。

我们所提供的修复方案属于临时修复，以防止攻击。我们无法监督WordPress插件的所有可能的向后兼容性问题，因此建议您谨慎的对WordPress文件进行任何修改。

时间线

总结

在这文章中，我们介绍了WordPress内核中引入了一个任意文件删除漏洞，它允许任何具有作者权限的用户完全接管WordPress网站，并在服务器上执行任意代码。该漏洞去年已报告给WordPress安全团队，但在编写本文时仍然没有作任何修复。

为了提高对此漏洞的认识，我们决定发布一些细节和修复程序。使用我们的安全分析解决方案可以轻松发现漏洞，我们确信这个问题已经被许多研究人员所了解。尽管用户帐户的需求阻止了任意WordPress站点的大规模开发，但共享多个用户帐户的WordPress站点应该应用此修复程序。