Понимание уязвимости Wordpress

Недавно была раскрыта уязвимость, которая влияет на WordPress 2.8.3 и позволяет пользователю администратора заблокировать свою учетную запись, изменив пароль.

Этот пост о полном раскрытии информации описывает этот недостаток и включает соответствующие фрагменты кода. В сообщении упоминается, что 'Вы можете использовать функцию пароля reset и обходить первый шаг, а затем reset пароль администратора, отправив массив переменной $key.'

Мне было бы интересно узнать кого-то знакомого с PHP, объясняющего ошибку более подробно.

Те, кто пострадал, должны обновить к новой версии 2.8.4, которая, по-видимому, устраняет недостатки.

wp-login.php:
...[snip]....
line 186:
function reset_password($key) {
    global $wpdb;

    $key = preg_replace('/[^a-z0-9]/i', '', $key);

    if ( empty( $key ) )
        return new WP_Error('invalid_key', __('Invalid key'));

    $user = $wpdb->get_row($wpdb->prepare("SELECT * FROM $wpdb->users WHERE
user_activation_key = %s", $key));
    if ( empty( $user ) )
        return new WP_Error('invalid_key', __('Invalid key'));
...[snip]....
line 276:
$action = isset($_REQUEST['action']) ? $_REQUEST['action'] : 'login';
$errors = new WP_Error();

if ( isset($_GET['key']) )
    $action = 'resetpass';

// validate action so as to default to the login screen
if ( !in_array($action, array('logout', 'lostpassword', 'retrievepassword',
'resetpass', 'rp', 'register', 'login')) && false ===
has_filter('login_form_' . $action) )
    $action = 'login';
...[snip]....

line 370:

break;

case 'resetpass' :
case 'rp' :
    $errors = reset_password($_GET['key']);

    if ( ! is_wp_error($errors) ) {
        wp_redirect('wp-login.php?checkemail=newpass');
        exit();
    }

    wp_redirect('wp-login.php?action=lostpassword&error=invalidkey');
    exit();

break;
...[snip ]...

Ответы

Ответ 1

Таким образом, $key - это массив в querystring с единственной пустой строкой ['']

http://DOMAIN_NAME.TLD/wp-login.php?action=rp&key[]=

reset_password вызывается с массивом, а затем вызывает вызов preg_replace:

 //$key = ['']
 $key = preg_replace('/[^a-z0-9]/i', '', $key);
 //$key = [''] still

потому что preg_replace принимает строку или массив строк. Это регулярное выражение ничего не заменяет и возвращает тот же массив. $key не пуст (это массив пустой строки), так что это происходит:

 $user = $wpdb->get_row($wpdb->prepare("SELECT * FROM $wpdb->users 
      WHERE user_activation_key = %s", $key));

Теперь отсюда мне нужно прочитать исходный текст для того, как готовят себя...

Больше:

Итак, подготовьте вызовы vsprintf, который создает пустую строку

$a = array('');
$b = array($a);
vsprintf("%s", $b);
//Does not produce anything

Итак, SQL:

SELECT * FROM $wpdb- > users WHERE user_activation_key = ''

Который, по-видимому, будет соответствовать пользователю admin (и всем пользователям без активирующих клавиш, я полагаю).

И что как.

Ответ 2

У меня есть связанный с этим вопрос о как исправить эту уязвимость - строка 190 на wp-login.php теперь должна выглядеть так:

if ( empty( $key ) || is_array( $key ) )