CVE-2022-20261 Wordpress的插件SQL注入漏洞分析及修补

最新推荐文章于 2024-07-11 08:39:22 发布
最新推荐文章于 2024-07-11 08:39:22 发布
阅读量7.4k 收藏 7
点赞数 1
分类专栏: 代码审计 漏洞复现 文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Destiny_one/article/details/123420005
版权
本文详细分析了WordPress在5.8.3版本前存在的SQL注入漏洞,该漏洞源于WP_Query类中的SQL查询处理。攻击者可通过控制特定查询参数绕过安全检查,导致SQL注入。补丁更新主要在clean_query函数中增强了参数过滤,限制了term_taxonomy_id类型的输入。修复方法是更新到最新版本。此文章适合学习网络安全和WordPress开发的读者。
摘要由CSDN通过智能技术生成

简介

wordpress是世界上使用最多的开源 CMS 之一。在允许开发者自己构建插件和主题来管理网站时,使用我们的许多便捷功能,wordpress的核心会提供插件/主题调用和使用wordpress函数的功能,如数据格式、查询数据库等许多选项在提供的众多类中,WP提供的查询DB的类中有SQL Injection错误:WP_QueryWP_Query 是 WordPress 提供的一个用于处理复杂 SQL 查询的类,在 WordPress 核心框架和插件中使用范围非常广泛,用户可以通过 WP_Query 类完成数据库查询操作,方便构建 WordPress 的输出内容。

影响版本

Wordpress <= 5.8.3

漏洞分析

查看补丁更新,地址为https://github.com/WordPress/WordPress/commit/271b1f60cd3e46548bd8aeb198eb8a923b9b3827

请添加图片描述

我们可以看到,修改的最关键的位置位于wp-includes/class-wp-tax-query.php文件当中的第599行代码,在补丁中,对$query[terms]的赋值取决于$query['field']的取值

我们查看漏洞触发点,触发点是 clean_query 函数

请添加图片描述

clean_query 函数获得$query后在559行代码中对$query[terms]进行了array_unique去重操作后,首先进行了一个if判断if (is_taxonomy_hierarchical($query['taxonomy'])&&$query['include_children']),可以通过控制 $query ['taxonomy'] 或者 $query ['include_children'] 的取值使得 if 判断不成立,这样就直接将 $query ['terms'] 带入了函数 transform_query

请添加图片描述

可以设置 $query ['field'] 的值为 term_taxonomy_id,这样函数会直接返回,也就是说可以通过控制 $query 的取值来绕过 clean_query 函数的处理。

查找调用 clean_query 函数的情况,只有位于wp-includes/class-wp-tax-query.php文件当中的第383行的get_sql_for_clause函数进行了调用
请添加图片描述

请添加图片描述

通过 clean_query 处理参数 $clause 的引用对象,然后赋值给 $terms,当存在 IN 操作时,调用函数 implode, 将数组 $terms 转换为字符串,继续往下走:将 $terms 字符串拼接进入 $where,并最终带入 SQL 查询语句。

请添加图片描述

请添加图片描述

回顾 get_sql_for_clause 函数的处理过程,可以通过构造特殊 $query,导致输入参数无过滤处理就直接带入 SQL 语句,导致出现 SQL 注入漏洞。

查找get_sql_for_clause 函数的调用链

请添加图片描述

可以构建一条从 WP_Query 构造函数出发,到达 get_sql_for_clause 函数的完整调用链条:

请添加图片描述

请添加图片描述

漏洞复现

通过前面的分析,我们知道参数query只需要满足以下2个条件,就可以触发SQL注入漏洞

  • $query ['include_children'] 取值为 false(或者 is_taxonomy_hierarchical ($query ['taxonomy']) 取值为 false);

  • $query ['field'] 取值为 term_taxonomy_id

举例网络上成功的两个案例结果:

请添加图片描述

请添加图片描述

漏洞修复

更新新版本即可

回顾前面的补丁对比,新版本 class-wp-tax-query.php 中的函数 clean_query 修改代码如下:

if ( 'slug' === $query['field'] || 'name' === $query['field'] ) {
			$query['terms'] = array_unique( (array) $query['terms'] );
		} else {
			$query['terms'] = wp_parse_id_list( $query['terms'] );
		}

通过函数 wp_parse_id_list 限制了 $query ['terms'] 数组元素类型必须是整数。

参考

https://github.com/WordPress/WordPress/commit/271b1f60cd3e46548bd8aeb198eb8a923b9b3827

https://cognn.medium.com/sql-injection-in-wordpress-core-zdi-can-15541-a451c492897

https://www.wangan.com/p/7fy7fge221c7608a

本文章仅供学习使用。由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。

鸣蜩十四
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WordPress Automatic插件 SQL注入漏洞复现(CVE-2024-27956)
0xSec
05-01 1076
WordPress Automatic 插件3.92.1之前版本存在SQL注入漏洞,该漏洞源于插件的用户身份验证机制,威胁者可以绕过该机制执行恶意SQL查询,将任意SQL代码注入网站的数据库并实现权限提升。成功利用该漏洞可能获得对网站的未授权访问、创建管理员帐户、上传恶意文件,并可能完全控制受影响的网站。
WordPress 5.8.3 SQL注入漏洞 CVE-2022-21661.pdf
09-27
这是最近爆出来的一个 wordpress 的 SQL 注入漏洞,实际上不是一个可以直接利用的洞,而是wordpress 的一个核心函数 WP_Query 的漏洞,这个函数常被插件使用,因此能造成的危害也挺大,前台后台都有可能
WordPress Plugin SQL注入漏洞(CVE-2024-25832)
2301_80127209的博客
06-18 471
WordPress是一种流行的内容管理系统(CMS),它提供了基本的网站功能,如文章发布、页面管理和用户权限控制等。然而,有时候用户需要更多的功能或特定的定制需求,这时就可以使用WordPress Plugin来实现。申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等。帮助你在面试脱颖而出。
WordPress插件SQL注入漏洞——漏洞复现
W小哥
11-25 8438
复现过程 环境地址:https://www.mozhe.cn/bug/detail/S0JTL0F4RE1sY2hGdHdwcUJ6aUFCQT09bW96aGUmozhe 访问目标网站 常规工具AWVS扫描是扫不出来漏洞的 第一步识别CMS vulnx -u http://219.153.49.228:47712/ --cms wpscan --url http://219.153.49.228:47712/ 给API的token才能将结果输出 ...
渗透测试——漏洞扫描工具
wuli1024的博客
11-20 550
然后还要将all这个压缩包里的plugin_feed_info.inc提取出来,命令行是 tar -zxvf all-2.0.tar.gz plugin_feed_info.inc,然鹅,我提取不出来。将下载好的插件移动到Nessus目录下,然后输入sudo /opt/nessus/sbin/nessuscli update all-2.0.tar.gz。用户名和密码随便写写就好,随后将会更新补丁,OK,这样Nessus可以使用了。将会获得一串数字,然后去激活码的这个网站,输入自己的邮箱获取激活码。
Wordpress漏洞
热门推荐
Grey的博客
07-19 2万+
爆路径方法: 1.http://www.chouwazi.com/wp-admin/includes/admin.php   2.http://www.chouwazi.com/wp-content/plugins/akismet/akismet.php   3.http://www.chouwazi.com/wp-content/plugins/akismet/hello.php   4...
CVE-2022-33891POC Apache Spark 命令注入(CVE-2022-33891)POC
08-10
CVE-2022-33891POC Apache Spark 命令注入(CVE-2022-33891)POC CVE-2022-33891 影响版本 Apache spark version 3.1.1版本 Apache Spark version>= 3.3.0 修复方案 1.建议升级到安全版本,参考官网链接: ...
春秋云境 CVE-2022-4230 夺旗
05-02
**CVE-2022-4230** 是一个存在于 **WP Statistics** WordPress 插件(版本13.2.9及以前)安全漏洞。该漏洞的主要原因是插件在处理特定参数时没有进行充分的数据转义,从而导致SQL注入攻击成为可能。具体来说: ...
wp-plugin-vulnerabilities:WordPress插件漏洞的集合
05-16
wp-plugin漏洞 WordPress插件漏洞的标准化集合。 用于此目的的数据已从WordPress.org存储库的“”插件提取,并以标准的YAML格式存储。 这些开发人员已为此YAML提供了所有原始源数据,我们所做的只是从PHP源代码提取数据并将其存储在YAML。 YAML结构的密钥是WordPress.org插件的子标签,可用于使用插件的目录名称轻松地识别已安装的插件(不幸的是,由于WordPress.org插件的性质,这种方法并不总是可靠的)。 我们将尽一切努力使它保持最新状态并与插件版本保持一致。 标签是从插件导入数据的日期,并查看它是“最新”的,将其与该插件的“最新更新”日期发布进行比较。 我想与原始开发人员合作,为此创建一个标准的数据存储,所以我还是朝着前进的方向迈进了-这毕竟是开源项目的目的。 为了帮助这个项目,请随时发出拉取请求等,我将在适当的时候考虑
wordpress漏洞_WordPress站点恶意JS注入漏洞分析
weixin_39980184的博客
11-07 170
Sucuri的安全研究人员检测到攻击者利用Wordpress插件漏洞进行攻击活动。该攻击活动有超过2000个WordPress网站被黑,并重定向受害者到含有浏览器通知订阅、假的问卷调研和假的Adobe Flash下载活动的垃圾邮件站点。 JS注入该漏洞被利用后,攻击者可以注入JS脚本到站点的主体,JS脚本可以从admarketlocation[.]com和 gotosecond2[....
Django SQL注入漏洞CVE-2020-7471)复现
玄道的网安博客
08-01 2821
简介 Django 官方发布安全通告公布了一个通过StringAgg(分隔符)实现利用的潜在SQL注入漏洞CVE-2020-7471)。攻击者可通过构造分隔符传递给聚合函数contrib.postgres.aggregates.StringAgg,从而绕过转义并注入恶意SQL语句。 影响版本 Django 1.11.x < 1.11.28 Django 2.2.x < 2.2.10 Django 3.0.x < 3.0.3 Django 主开发分支 环境搭建 ..
漏洞复现】WordPress——Recall——SQL注入CVE-2024-32709)
最新发布
LongL_GuYu的博客
07-11 712
Plechev Andrey WP-Recall存在SQL注入漏洞。该漏洞影响WP-Recall版本从n/a到16.26.5。攻击者可以利用该漏洞在SQL命令不恰当地立化特殊元素,造成数据库被恶意操作的风险。
(CVE-2022-21661)WordPress SQL 注入漏洞分析和复现
weixin_50464560的博客
09-07 4888
转载https://www.freebuf.com/articles/web/321297.html。
wordpress 漏洞_WordPress漏洞分析
weixin_42514783的博客
01-26 5375
根据CVE官方漏洞通报得知wordpress新出一个组合式rce漏洞漏洞编号分别为CVE-2019-8943和CVE-2019-8942,下载漏洞版本源码,分析漏洞触发过程,注:漏洞复现时一定要断网搭建,wordpress在联网状态时会自动更新代码包。找到漏洞发生文件 post.php,wordpress有多个post.php文件,这里简要说明一下各自的作用,wp-includes/post.p...
WordPress统计分析插件WP Statistics出现SQL注入漏洞 攻击者可窃取用户数据
weixin_34150830的博客
09-01 830
安全研究员在WP Statistics插件发现了一个缺陷,可使黑客貌似合理地窃取数据库,甚至远程劫持网站。该插件是一个非常流行的WordPress插件,用于超过30万个网站上。利用WP Statistics插件,网站管理员可查明网站信息,包含实时在线用户数量,网页统计和访客数量。 WP Statistics插件SQL注入漏洞 Sucuri公司的安全研究...
流行WordPress SEO插件曝高危SQL注入漏洞
weixin_34161064的博客
09-01 725
最新消息,全球最流行的CMS应用WordPress插件WordPress SEO by Yoast曝高危SQL注入漏洞,该插件使用频率相当高,用户高达可达千万。 漏洞简述 WordPress SEO by Yoast插件WordPress平台下非常流行的SEO插件,看其在Yoast网站上高达1400万次的下载量就知道了。 该漏洞WordPress漏...
Apache Spark 命令注入漏洞CVE-2022-33891)修复与利用
Apache Spark 命令注入漏洞CVE-2022-33891) Apache Spark 命令注入漏洞CVE-2022-33891)是 Apache Spark 的一种高危漏洞,允许攻击者通过命令注入来执行恶意命令,从而控制服务器。该漏洞影响 Apache Spark ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值