多个WordPress插件SQL注入漏洞分析

ang010ela 漏洞 2019年9月12日发布
Favorite收藏

导语:研究人员发现多个WordPress插件存在SQL注入漏洞。

背景

SQL注入漏洞是用来构建SQL查询的用户输入未经适当处理导致的漏洞。比如:

image.png

图1: 使用WordPress的SQL查询示例

从上面的代码来看,其中存在SQL注入攻击漏洞,因为从$_GET中提取的$_id在传递给SQL查询时没有经过任何处理。在最新的WordPress版本中,默认会在$_POST/$_GET/$_REQUEST/$_COOKIE中加入了magic quotes。这可以帮助WordPress维护,并提供最佳的安全能力。因此,上面的代码其实是没有漏洞的。

除了给所有输入值加斜杠(slash)外,WordPress会提供许多内置的处理函数来对输入进行处理,以确保输出的安全。开发者可以使用sanitize_email()来处理邮件地址,或用sanitize_text_field()来清除文本域的值,或用sanitize_sql_orderby()来验证SQL ORDER BY clauses。用户输入最常见的类型是由WordPress sanitize_*()的类来涵盖的。

虽然WordPress核心是尽最大可能来帮助开发者来防止恶意伪造的用户输入、不好的编码实践、误用逃逸函数会导致简单或关键的漏洞。

漏洞分析

FG-VD-19-092 – SQL Injection in AdRotate Plugin through 5.2 for WordPress

该漏洞是一个经典SQL注入漏洞,存在于 AdRotate插件5.2版本中。漏洞位于dashboard/publisher/adverts-edit.php文件的第25行。

image.png

图2: adverts-edit.php中的SELECT statement用于从数据库中获取广告

变量$ad_edit_id用于构建SQL查询。该变量是从函数adrotate_manage的变量$_GET中提取的。

image.png

图3: 用户控制的变量$ad_edit_id

因为esc_attr变量只能逃逸HTML属性,在SQL查询中$ad_edit_id变量无法用双引号逃逸,因此可以注入payload到$ad_edit_id中来执行任意的SQL语句。

image.png

图4: AdRotate插件5.2泄漏的数据库版本

因为管理接口只对管理员角色可用,缺乏CSRF token使非认证的攻击者可以远程窃取信息,包括session token,可以通过SQL注入漏洞以最小的用户交互来引发XSS:

image.png

图5: SQL注入引发的XSS

开发者的补丁中只是对查询中的$ad_edit_id变量加了引号。

image.png

图6: AdRotate 5.3版本中的SQL注入漏洞补丁

FG-VD-19-099 – SQL Injection in NextGEN Gallery Plugin through 3.2.10 for WordPress

NextGEN Gallery 插件提供了很完美的照片管理方法,操作也不复杂,从2007年开始就成为标准的WordPress照片管理插件,每年新下载量超过150万。截止目前,NextGEN Gallery 插件的活跃安装超过90万,是照片管理插件中使用最多的之一。

该插件的AJAX API中存在漏洞,用户可以在发布文章时从图片库中附件照片。

image.png

图7: 用户提供的输入在get_displayed_gallery_entities_action中处理

modules/attach_to_post/package.module.attach_to_post.php中的函数get_displayed_gallery_entities_action是负责在特定的图片库中显示图片的。数组参数 displayed_gallery是通过POST方法提取的以创建gallery对象,如第119行代码所示。对象的属性可以通过esc_sql帮助函数逃逸。然后调用第130行的get_entities,指向modules/nextgen_gallery_display/package.module.nextgen_gallery_display.php中的函数get_entities。

image.png

图8: get_entities根据返回的请求调用对应的函数

因为返回请求有both值,因此第832行的_get_image_entities会被调用。

image.png

图9:_get_image_entities获取gallery中的所有图像

该函数会准备一个查询来返回展示的gallery中的所有图像。如第1041行所示,会使用一个基于来自创建的gallery对象的$sort_by和$sort_direction的排序过程。任意有权限使用NextGEN Gallery 的经过认证的用户都可以操作params来创建gallery对象。虽然该对象的所有属性都可以用esc_sql逃逸,但攻击者并不需要逃逸引号就可以在ORDER BY语句中执行SQL注入攻击。因此,esc_sql无法预防NextGEN Gallery 被攻击者利用的情况。

image.png

图10: NextGEN Gallery中的SQL盲注

image.png

图11: NextGEN Gallery中的SQL盲注2,false会返回空结果

发布的补丁中只允许ORDER BY语句中出现特定的值,因此查询就是安全的。

image.png

图12: Imagely通过白名单修复安全漏洞

FG-VD-19-098 – SQL Injection in Impress Give Plugin through 2.5.0 for WordPress

Give 是评分最高、下载量最多的wordpress插件。该插件的漏洞代码位于includes/donors/class-give-donors-query.php的get_order_query函数中。

image.png

图13: Give插件中的漏洞代码

如注释所示,get_order_query尝试移除ORDER BY语句中不存在的列,通过使用esc_sql帮助函数来过滤排序的值。因为467行中销毁不存在的行后,会在第470行中重插入一个逃逸值,因此移除并不会如研究人员所想。许多人都知道esc_sql函数在预防ORDER BY语句中的SQL注入攻击中是没有用处的。因此,构建的查询中是有漏洞的。相同的SQL盲注技术可以用来利用该漏洞。

Impress 团队发布的1行补丁允许过滤器正常工作,因此查询是安全的。

image.png

图14: Give插件补丁

建议

为了预防开发WordPress插件过程中的SQL注入攻击。研究人员建议开发者遵循WordPress编码规范和安全编码最佳实践。研究人员建议:

· 不要信任任何用户输入。对用户提供的所有数据执行有效性检查和处理。

· 如果不确定数据是不是安全的,应用内置的处理函数来适配数据。比如,sanitize_sql_orderby()就修复了所有发现的漏洞。

· 除了使用esc_sql,99%的case可以用预先准备好的语句。

· 如果无法使用预先准备好的语句,可以使用esc_sql和引号内的逃逸值。

本文翻译自: https://www.fortinet.com/blog/threat-research/wordpress-plugin-sql-injection-vulnerability.html如若转载,请注明原文地址: https://www.4hou.com/vulnerable/20234.html
点赞 3
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论