Уязвимость, позволяющая получить контроль над WordPress через форму сброса пароля

04.05.2017 22:33

В системе управления web-контентом WordPress выявлена уязвимость (CVE-2017-8295), позволяющая получить контроль над аккаунтом через манипуляции с формой сброса пароля. В частности, атакующий может без прохождения необходимой аутентификации организовать отправку владельцу аккаунта письма с кодом сброса пароля и подконтрольным email в поле отправителя (From/Return-Path). Несмотря на то, что информация об уязвимости несколько раз отправлялась разработчикам WordPress (первое уведомление было отправлено летом прошлого года), проблема до сих пор остаётся неисправленной и проявляется во всех версиях WordPress, включая самый свежий выпуск 4.7.4.

Возможность подстановки своего значения email отправителя вызвано тем, что WordPress формирует содержимое полей From и Return-Path на основе переменной $_SERVER['SERVER_NAME'], значение которой на большинстве http-серверов формируется на основе HTTP-заголовка "Host:", который передаётся во время запроса. Если сайт на базе WordPress является основным хостом в конфигурации http-сервера, то атакующий может отправить запрос к форме сброса пароля подставив в "Host:" имя подконтрольного домена, который будет использован в составе адреса отправителя (wordpress@домен).

Для того чтобы получить код ссылки для сброса email необходимо, чтобы письмо, отправленное владельцу аккаунта, было перенаправлено по адресу отправителя. Например, можно организовать DoS-атаку на почтовый сервер пользователя и, отправив порцию крупных писем, добиться переполнения его почтового ящика или превышения квоты. В условиях когда ящик переполнен, сообщение с кодом сброса пароля будет возвращено отправителю с уведомлением о невозможности доставки. Ещё одним вариантом является проведение атаки на пользователей, которые пользуются автоответчиками. Атакующему достаточно дождаться, когда будет активирован автоответчик (например, пользователь уедет в отпуск или командировку) и инициировать отправку письма с кодом сброса пароля, которое вернётся по адресу отправителя с уведомлением от автоответчика.

исправить +10 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/46499-wordpress

Ключевые слова: wordpress

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (16)

1.1, Alex_K (??), 23:00, 04/05/2017 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
В Apache $_SERVER['SERVER_NAME'] соответствует значению, указанному в директиве ServerName виртуального хоста Apache. Подменить его через манипуляцию с заголовком Host нельзя (для этого существует $_SERVER['HTTP_HOST']).

2.2, Аноним (-), 23:03, 04/05/2017 [^] [^^] [^^^] [ответить]	+2 +/–
Это только когда выставлена директива "UseCanonicalName On", а по умолчанию ставится "UseCanonicalName Off".

2.4, Alex_K (??), 23:06, 04/05/2017 [^] [^^] [^^^] [ответить]	+2 +/–
Был не прав. При UseCanonicalName = Off (по умолчанию), в $_SERVER['SERVER_NAME'] окажется заголовок Host.

3.5, Alex_K (??), 23:12, 04/05/2017 [^] [^^] [^^^] [ответить]	+2 +/–
Но по факту в условиях виртуального хостинга уязвимость сложно эксплуатировать. Нужно, чтобы атакуемый сайт был первым виртуальным хостом (иначе запрос с поддельным Host не пройдет до нужного сайта).

1.3, Аноним (-), 23:04, 04/05/2017 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Обновлений пока нету и это хорошо, не нужно будет завтра тратить на это время

1.6, freehck (ok), 23:40, 04/05/2017 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Итак, для атаки надо: 1) Чтобы обращение к любому домену шло на этот WordPress 2) Узнать заранее почтовый адрес жертвы (или хотя бы его домен) 3) Устроить на его почтовый сервер DoS-атаку Недешёвая должна быть жертва. :)

2.7, Elhana (ok), 23:55, 04/05/2017 [^] [^^] [^^^] [ответить]	+/–
И еще чтобы был настроен баунс, который к тому же тело письма возвращает - рай для спамеров, а не почтовый сервер.

3.10, nikosd (ok), 08:04, 05/05/2017 [^] [^^] [^^^] [ответить]	+/–
не смотрел на форму восстановления паролей WP( где там ссылка), но 80% серверов возвращают первые несколько килобайт письма. А про ценность жертвы - сложное условие только "быть первым на хосте"

4.17, angra (ok), 07:50, 06/05/2017 [^] [^^] [^^^] [ответить]	+1 +/–
Где же ты находишь таких непуганных? Большая часть не возвращает вообще ничего, так как вместо баунсов выдает отлуп еще во время smtp сессии.

2.14, Аноним (-), 10:35, 05/05/2017 [^] [^^] [^^^] [ответить]	+/–
По ссылке к новости сходить было бы полезно. Там готовый рецепт установить "Reverse Shell" используя эту уязвимость.

2.18, Аноним (-), 12:43, 10/05/2017 [^] [^^] [^^^] [ответить]	+/–
Блин а если его почтовый сервер gmail то с DDOS-ом могут быть большие проблемы :)

1.11, тоже Аноним (ok), 08:06, 05/05/2017 [ответить] [﹢﹢﹢] [ · · · ]	+3 +/–
Огород, защищенный заборчиком из штакетника, оказался уязвим к подкопу. Ужас.

2.16, анон (?), 15:56, 05/05/2017 [^] [^^] [^^^] [ответить]	+1 +/–
> Огород, защищенный заборчиком из штакетника, оказался уязвим к подкопу. Ужас. Ну, к подкопу уязвим даже огород, защищенный бетонным четырехметровым забором. Ужас, конечно. Разве что бетон еще и вглубь метров на шесть... Но ведь о глубине подкопа то ничего не сказано.

1.12, Аноним (-), 09:38, 05/05/2017 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Дырявое ведро. Ни одна другая CMS не имеет столько дыр.

2.15, Аноним (-), 13:22, 05/05/2017 [^] [^^] [^^^] [ответить]	+2 +/–
> Дырявое ведро. Ни одна другая CMS не имеет столько дыр. joomla

1.13, Аноним (-), 10:25, 05/05/2017 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
язвимость в WordPress? Это уже не новость...

игнорирование участников | лог модерирования

Добавить комментарий

Текст: