WordPress WPDB SQL注入漏洞 安全公告

近日,国家信息安全漏洞共享平台(CNVD)收录了WordPress WPDB SQL注入漏洞(CNVD-2017-32143)。远程攻击者利用该漏洞可造成SQL注入攻击,获取数据库敏感信息。漏洞的详细细节已公开,近期被不法分子利用进行出现大规模攻击尝试的可能性较大。

一、漏洞情况分析

WordPress是使用PHP语言和MySQL数据库开发的,世界上使用最广泛的博客系统,并逐步演化成一款内容管理软件。
2017年10月31日,WordPress官方发布了WordPress安全更新并修复了一处SQL注入漏洞,即$wpdb-prepare()函数可以创建无法预测且不安全的查询,从而导致潜在的SQL注入(SQLi),但WordPress核心并不容易直接受到该漏洞的影响。CNVD对上述漏洞的综合评级为“高危”。

4.8.3中修复了一个重要的SQL注入漏洞,这个漏洞于2017年9月20日通过hackerone报给WordPress官方。

影响写法

以下$wpdb写法受该漏洞影响:

不要将用户的输入传递给查询端,如以下写法1

$where = $wpdb->prepare(" WHERE foo = %s", $_GET['data']);
$query = $wpdb->prepare("SELECT * FROM something $where LIMIT %d, %d", 1, 2);

理论上写法2也是不安全的:

$where = "WHERE foo = '" . esc_sql($_GET['data']) . "'";
$query = $wpdb->prepare("SELECT * FROM something $where LIMIT %d, %d", 1, 2);

应该单独的构建查询和参数,然后通过prepare方法执行。如以下写法3

$where = "WHERE foo = %s";
$args = [$_GET['data']];
$args[] = 1;
$args[] = 2;
$query = $wpdb->prepare("SELECT * FROM something $where LIMIT %d, %d", $args);

缺陷分析:

为了了解本次报告中关于$wpdb的容易受攻击的代码,我们来跟进分析WordPress内部关于WPDB::prepare的部分。先来看源码(4.8.2版本之前)

public function prepare( $query, $args ) {
    if ( is_null( $query ) )
        return;
    // This is not meant to be foolproof -- but it will catch obviously incorrect usage.
    if ( strpos( $query, '%' ) === false ) {
        _doing_it_wrong( 'wpdb::prepare', sprintf( __( 'The query argument of %s must have a placeholder.' ), 'wpdb::prepare()' ), '3.9.0' );
    }
    $args = func_get_args();
    array_shift( $args );
    // If args were passed as an array (as in vsprintf), move them up
    if ( isset( $args[0] ) && is_array($args[0]) )
        $args = $args[0];
    $query = str_replace( "'%s'", '%s', $query ); // in case someone mistakenly already singlequoted it
    $query = str_replace( '"%s"', '%s', $query ); // doublequote unquoting
    $query = preg_replace( '|(?<!%)%f|' , '%F', $query ); // Force floats to be locale unaware
    $query = preg_replace( '|(?<!%)%s|', "'%s'", $query ); // quote the strings, avoiding escaped strings like %%s
    array_walk( $args, array( $this, 'escape_by_ref' ) );
    return @vsprintf( $query, $args );
}

 

这里需要注意三点

1.通过vsprintf格式化字符串,用$args替换占位符,并返回格式化后的一个字符串

2.利用str_replace函数正确处理$query中的占位符

3.如果传递的是参数,该参数是一个数组,那么它将用该数组的值替换参数。

总之,意思是调用$wpdb->prepare($sql, [1, 2])与调用$wpdb->prepare($sql, 1, 2)是相同的,这点很重要。

如以下的代码

$items = implode(", ", array_map([$wpdb, '_real_escape'], $_GET['items']));
$sql = "SELECT * FROM foo WHERE bar IN ($items) AND baz = %s";
$query = $wpdb->prepare($sql, $_GET['baz']);
这里涉及到vsprintf的一个小特性
vsprintf('%s, %d, %s', ["a", 1, "b"]); // "a, 1, b"
vsprintf('%s, %d, %1$s', ["a", 2, "b"]); // "a, 2, a"

注意,%n$s不会读取下一个参数,而是读取第n个位置的参数

我们可以基于这个验证上面的查询,假设我们发送以下请求信息给服务端

$_GET['items'] = ['%1$s'];
$_GET['baz'] = "test";

现在,查询将被改为SELECT * FROM foo WHERE bar IN (‘test’) AND baz = ‘test’;但这改变了查询的含义,为了更明显的说明sql注入,可以构造这样的请求数据

$_GET['items'] = ['%1$c) OR 1 = 1 /*'];
$_GET['baz'] = 39;

需要说明的是:sprintf还接受另一种类型的参数:%c它的作用就像chr()将十进制数字转换成一个字符。这里ASCII表39是’(单引号)的ASCII码。那么整个查询执行的sql语句是:

SELECT * FROM foo WHERE bar IN ('') OR 1 = 1 /*' AND baz = 'test';

事实证明,该缺陷也存在WordPress的核心文件/wp-includes/meta.

if ( $delete_all ) {
  $value_clause = '';
  if ( '' !== $meta_value && null !== $meta_value && false !== $meta_value ) {
    $value_clause = $wpdb->prepare( " AND meta_value = %s", $meta_value );
  }
  $object_ids = $wpdb->get_col( $wpdb->prepare( "SELECT $type_column FROM $table WHERE meta_key = %s $value_clause", $meta_key ) );
}

二、漏洞影响范围

漏洞影响WordPress 4.8.2及之前版本。

三、漏洞修复建议

支持自动更新的用户可以通过点击后台的仪表盘更新到4.8.3版本,也可手动下载更新:https://wordpress.org/download/
附:参考链接:

WordPress 4.8.3 Security Release


https://blog.ircmaxell.com/2017/10/disclosure-wordpress-wpdb-sql-injection-technical.html
http://www.cnvd.org.cn/flaw/show/CNVD-2017-32143

搬瓦工,年付$49.99CN2高速线路,1024MB内存/1000GB流量/1GB带宽,电信联通优化KVM,延迟低,速度快,建站稳定,搬瓦工BandwagonHost VPS优惠码BWH26FXH3HIQ,支持<支付宝> 【点击购买】!

Vultr月付$3.5日本节点,512M内存/500G流量/1G带宽,电信联通优化,延迟低,速度快【点击购买】!

发表评论

电子邮件地址不会被公开。 必填项已用*标注