近期，WordPress 被曝出存在內(nèi)容注入漏洞，攻擊者利用此漏洞可越權(quán)對(duì)網(wǎng)站文章內(nèi)容進(jìn)行修改。

漏洞復(fù)現(xiàn)

WordPress 是一種使用 PHP 語(yǔ)言開發(fā)的博客平臺(tái)，用戶可以在支持 PHP 和 MySQL 數(shù)據(jù)庫(kù)的服務(wù)器上架設(shè)屬于自己的網(wǎng)站，也可以把 WordPress 當(dāng)作一個(gè)內(nèi)容管理系統(tǒng)（CMS）來(lái)使用。
REST API 是 WordPress 4.7.0 版本開始默認(rèn)啟用的插件，通過(guò) REST API 可對(duì)已發(fā)布的文章執(zhí)行多個(gè)修改操作，比如修改日期、標(biāo)題、作者、內(nèi)容等等。

漏洞原理：
通過(guò)對(duì) WordPress 源代碼的深入剖析，發(fā)現(xiàn) REST API 文件中的權(quán)限檢查邏輯可以被繞過(guò)，從而形成文章任意內(nèi)容的修改漏洞。

首先，在文件 /wp-includes/rest-api/endpoints/class-wp-rest-posts-controller.php 中，看下文章（post）的控制類，注冊(cè)了文章更新的回調(diào)函數(shù)update_item 和檢查更新權(quán)限的回調(diào)函數(shù) update_item_permissions_check：

class-wp-rest-posts-controller.php

我們跟進(jìn)檢查更新權(quán)限的回調(diào)函數(shù) update_item_permissions_check：

update_item_permissions_check

第一個(gè)紅框，是根據(jù)用戶傳入的 id 參數(shù)，使用 get_post() 函數(shù)來(lái)查找相應(yīng)的文章。第二個(gè)紅框是重點(diǎn)，如果文章存在但是沒(méi)有權(quán)限，會(huì)返回沒(méi)有權(quán)限操作（Sorry, you are not allowed to edit this post.）。也就是說(shuō)，如果文章不存在，則會(huì)跳過(guò)這部分的判斷，執(zhí)行到最后的 return true，從而完成權(quán)限檢查。這里的邏輯是合理的，如果用戶提供的id沒(méi)有對(duì)應(yīng)的文章，即使獲得了更改權(quán)限，也沒(méi)有可用的文章被修改。但是，這只是權(quán)限檢查階段。

如果用戶提供一個(gè)特殊的 id 參數(shù)，使得在權(quán)限檢查時(shí)（update_item_permissions_check 函數(shù)）沒(méi)有對(duì)應(yīng)的文章，從而獲得修改權(quán)限，但在修改文章內(nèi)容（update_item 函數(shù)）時(shí)。又能找到該特殊的 id 對(duì)應(yīng)的文章，那么就可以直接修改文章的內(nèi)容了。這樣的 id 參數(shù)需要滿足兩個(gè)條件：

1. 使得 get_post() 函數(shù)找不到對(duì)應(yīng)的文章
2. 使得 update_item () 函數(shù)能找到對(duì)應(yīng)的文章

這樣的 id 參數(shù)是否存在呢？看 get_post() 函數(shù)：

get_post() 函數(shù)

可以看出，只要輸入的 id 使得 get_instance() 函數(shù)返回 false，我們就會(huì)得到一個(gè)null的返回，也就是找不到對(duì)應(yīng)的文章。繼續(xù)根跟進(jìn) get_instance() 函數(shù)，如下圖：

get_instance() 函數(shù)

這里可以清楚地看到，只要輸入的 id 參數(shù)不是純數(shù)字，就會(huì) false，從而就會(huì)使得找不到對(duì)應(yīng)的文章。再看下修改文章內(nèi)容的函數(shù) update_item：

update_item函數(shù)

紅框中的內(nèi)容是重點(diǎn)中的重點(diǎn)。這里我們需要 get_post() 函數(shù)成功執(zhí)行，找到對(duì)應(yīng)的文章。而上一行的 $id = (int) $request['id'];，會(huì)把用戶輸入的id進(jìn)行整數(shù)類型轉(zhuǎn)換，保證了 get_post() 函數(shù)能夠執(zhí)行成功。問(wèn)題就出現(xiàn)在這個(gè)類型轉(zhuǎn)換上，只要我們提供的id參數(shù)能還換成整數(shù)即可，比如 123abc，進(jìn)行轉(zhuǎn)換后會(huì)變成 123。
我們找到了這樣的 id 參數(shù)，從而可以實(shí)現(xiàn)繞過(guò)權(quán)限檢查，修改文章任意內(nèi)容。

漏洞復(fù)現(xiàn)：

下圖是默認(rèn)安裝的 WordPress4.7.1，第一篇默認(rèn)文章 Hello World，其文章 id 為 1：

文章 id 為 1

構(gòu)造數(shù)據(jù)包如下圖，id 參數(shù)為 1a，修改標(biāo)題和內(nèi)容，都改為 Content Injection Vulnerability in WordPress：

構(gòu)造數(shù)據(jù)包

查看返回狀態(tài)碼為 200，說(shuō)明已經(jīng)成功修改。刷新頁(yè)面，可以看到文章已被修改。

文章已被修改

友情提示：
1、WordPress 4.7.2 版本已修復(fù)該漏洞，請(qǐng)前往官網(wǎng)下載升級(jí)：https://cn.wordpress.org/；