The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

04.05.2017 22:33  Уязвимость, позволяющая получить контроль над WordPress через форму сброса пароля

В системе управления web-контентом WordPress выявлена уязвимость (CVE-2017-8295), позволяющая получить контроль над аккаунтом через манипуляции с формой сброса пароля. В частности, атакующий может без прохождения необходимой аутентификации организовать отправку владельцу аккаунта письма с кодом сброса пароля и подконтрольным email в поле отправителя (From/Return-Path). Несмотря на то, что информация об уязвимости несколько раз отправлялась разработчикам WordPress (первое уведомление было отправлено летом прошлого года), проблема до сих пор остаётся неисправленной и проявляется во всех версиях WordPress, включая самый свежий выпуск 4.7.4.

Возможность подстановки своего значения email отправителя вызвано тем, что WordPress формирует содержимое полей From и Return-Path на основе переменной $_SERVER['SERVER_NAME'], значение которой на большинстве http-серверов формируется на основе HTTP-заголовка "Host:", который передаётся во время запроса. Если сайт на базе WordPress является основным хостом в конфигурации http-сервера, то атакующий может отправить запрос к форме сброса пароля подставив в "Host:" имя подконтрольного домена, который будет использован в составе адреса отправителя (wordpress@домен).

Для того чтобы получить код ссылки для сброса email необходимо, чтобы письмо, отправленное владельцу аккаунта, было перенаправлено по адресу отправителя. Например, можно организовать DoS-атаку на почтовый сервер пользователя и, отправив порцию крупных писем, добиться переполнения его почтового ящика или превышения квоты. В условиях когда ящик переполнен, сообщение с кодом сброса пароля будет возвращено отправителю с уведомлением о невозможности доставки. Ещё одним вариантом является проведение атаки на пользователей, которые пользуются автоответчиками. Атакующему достаточно дождаться, когда будет активирован автоответчик (например, пользователь уедет в отпуск или командировку) и инициировать отправку письма с кодом сброса пароля, которое вернётся по адресу отправителя с уведомлением от автоответчика.

  1. Главная ссылка к новости (http://openwall.com/lists/oss-...)
  2. OpenNews: Уязвимость в Squirrelmail, позволяющая удалённо выполнить код на сервере
  3. OpenNews: В PHPMailer выявлена ещё одна критическая уязвимость, вызванная недоработкой в PHP
  4. OpenNews: Критическая уязвимость в PHPMailer, применяемом в WordPress, Drupal и Joomla
  5. OpenNews: Root-уязвимость из-за некорректных настроек в пакете nginx для Debian и Ubuntu
  6. OpenNews: Уязвимость в MySQL, позволяющая поднять свои привилегии
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: wordpress
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Alex_K, 23:00, 04/05/2017 [ответить] [смотреть все]
  • +/
    В Apache $_SERVER['SERVER_NAME'] соответствует значению, указанному в директиве ServerName виртуального хоста Apache. Подменить его через манипуляцию с заголовком Host нельзя (для этого существует $_SERVER['HTTP_HOST']).
     
     
  • 2.2, Аноним, 23:03, 04/05/2017 [^] [ответить] [смотреть все]
  • +2 +/
    Это только когда выставлена директива UseCanonicalName On , а по умолчанию став... весь текст скрыт [показать]
     
  • 2.4, Alex_K, 23:06, 04/05/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    Был не прав. При UseCanonicalName = Off (по умолчанию), в $_SERVER['SERVER_NAME'] окажется заголовок Host.
     
     
  • 3.5, Alex_K, 23:12, 04/05/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Но по факту в условиях виртуального хостинга уязвимость сложно эксплуатировать. Нужно, чтобы атакуемый сайт был первым виртуальным хостом (иначе запрос с поддельным Host не пройдет до нужного сайта).
     
  • 1.3, Аноним, 23:04, 04/05/2017 [ответить] [смотреть все]  
  • +/
    Обновлений пока нету и это хорошо, не нужно будет завтра тратить на это время
     
  • 1.6, freehck, 23:40, 04/05/2017 [ответить] [смотреть все]  
  • +/
    Итак, для атаки надо:
    1) Чтобы обращение к любому домену шло на этот WordPress
    2) Узнать заранее почтовый адрес жертвы (или хотя бы его домен)
    3) Устроить на его почтовый сервер DoS-атаку

    Недешёвая должна быть жертва. :)

     
     
  • 2.7, Elhana, 23:55, 04/05/2017 [^] [ответить] [смотреть все]  
  • +/
    И еще чтобы был настроен баунс, который к тому же тело письма возвращает - рай для спамеров, а не почтовый сервер.
     
     
  • 3.10, nikosd, 08:04, 05/05/2017 [^] [ответить] [смотреть все]  
  • +/
    не смотрел на форму восстановления паролей WP( где  там ссылка), но  80%   серверов  возвращают первые  несколько  килобайт письма. А про ценность жертвы -
    сложное условие только "быть первым на хосте"
     
     
  • 4.17, angra, 07:50, 06/05/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Где же ты находишь таких непуганных? Большая часть не возвращает вообще ничего, так как вместо баунсов выдает отлуп еще во время smtp сессии.
     
  • 2.14, Аноним, 10:35, 05/05/2017 [^] [ответить] [смотреть все]  
  • +/
    По ссылке к новости сходить было бы полезно Там готовый рецепт установить Reve... весь текст скрыт [показать]
     
  • 2.18, Аноним, 12:43, 10/05/2017 [^] [ответить] [смотреть все]  
  • +/
    Блин а если его почтовый сервер gmail то с DDOS-ом могут быть большие проблемы ... весь текст скрыт [показать]
     
  • 1.11, тоже Аноним, 08:06, 05/05/2017 [ответить] [смотреть все]  
  • +3 +/
    Огород, защищенный заборчиком из штакетника, оказался уязвим к подкопу. Ужас.
     
     
  • 2.16, анон, 15:56, 05/05/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    > Огород, защищенный заборчиком из штакетника, оказался уязвим к подкопу. Ужас.

    Ну, к подкопу уязвим даже огород, защищенный бетонным четырехметровым забором. Ужас, конечно. Разве что бетон еще и вглубь метров на шесть... Но ведь о глубине подкопа то ничего не сказано.

     
  • 1.12, Аноним, 09:38, 05/05/2017 [ответить] [смотреть все]  
  • +/
    Дырявое ведро. Ни одна другая CMS не имеет столько дыр.
     
     
  • 2.15, Аноним, 13:22, 05/05/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    > Дырявое ведро. Ни одна другая CMS не имеет столько дыр.

    joomla

     
  • 1.13, Аноним, 10:25, 05/05/2017 [ответить] [смотреть все]  
  • +2 +/
    язвимость в WordPress? Это уже не новость...
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor TopList