0
点赞
收藏
分享

微信扫一扫

CVE-2022-20261 Wordpress的插件SQL注入漏洞分析及修补

贵州谢高低 2022-03-12 阅读 98

简介

wordpress是世界上使用最多的开源 CMS 之一。在允许开发者自己构建插件和主题来管理网站时,使用我们的许多便捷功能,wordpress的核心会提供插件/主题调用和使用wordpress函数的功能,如数据格式、查询数据库等许多选项在提供的众多类中,WP提供的查询DB的类中有SQL Injection错误:WP_QueryWP_Query 是 WordPress 提供的一个用于处理复杂 SQL 查询的类,在 WordPress 核心框架和插件中使用范围非常广泛,用户可以通过 WP_Query 类完成数据库查询操作,方便构建 WordPress 的输出内容。

影响版本

Wordpress <= 5.8.3

漏洞分析

查看补丁更新,地址为https://github.com/WordPress/WordPress/commit/271b1f60cd3e46548bd8aeb198eb8a923b9b3827

请添加图片描述

我们可以看到,修改的最关键的位置位于wp-includes/class-wp-tax-query.php文件当中的第599行代码,在补丁中,对$query[terms]的赋值取决于$query['field']的取值

我们查看漏洞触发点,触发点是 clean_query 函数

请添加图片描述

clean_query 函数获得$query后在559行代码中对$query[terms]进行了array_unique去重操作后,首先进行了一个if判断if (is_taxonomy_hierarchical($query['taxonomy'])&&$query['include_children']),可以通过控制 $query ['taxonomy'] 或者 $query ['include_children'] 的取值使得 if 判断不成立,这样就直接将 $query ['terms'] 带入了函数 transform_query

请添加图片描述

可以设置 $query ['field'] 的值为 term_taxonomy_id,这样函数会直接返回,也就是说可以通过控制 $query 的取值来绕过 clean_query 函数的处理。

查找调用 clean_query 函数的情况,只有位于wp-includes/class-wp-tax-query.php文件当中的第383行的get_sql_for_clause函数进行了调用
请添加图片描述

请添加图片描述

通过 clean_query 处理参数 $clause 的引用对象,然后赋值给 $terms,当存在 IN 操作时,调用函数 implode, 将数组 $terms 转换为字符串,继续往下走:将 $terms 字符串拼接进入 $where,并最终带入 SQL 查询语句。

请添加图片描述

请添加图片描述

回顾 get_sql_for_clause 函数的处理过程,可以通过构造特殊 $query,导致输入参数无过滤处理就直接带入 SQL 语句,导致出现 SQL 注入漏洞。

查找get_sql_for_clause 函数的调用链

请添加图片描述

可以构建一条从 WP_Query 构造函数出发,到达 get_sql_for_clause 函数的完整调用链条:

请添加图片描述

请添加图片描述

漏洞复现

通过前面的分析,我们知道参数query只需要满足以下2个条件,就可以触发SQL注入漏洞

  • $query ['include_children'] 取值为 false(或者 is_taxonomy_hierarchical ($query ['taxonomy']) 取值为 false);

  • $query ['field'] 取值为 term_taxonomy_id

举例网络上成功的两个案例结果:

请添加图片描述

请添加图片描述

漏洞修复

更新新版本即可

回顾前面的补丁对比,新版本 class-wp-tax-query.php 中的函数 clean_query 修改代码如下:

if ( 'slug' === $query['field'] || 'name' === $query['field'] ) {
			$query['terms'] = array_unique( (array) $query['terms'] );
		} else {
			$query['terms'] = wp_parse_id_list( $query['terms'] );
		}

通过函数 wp_parse_id_list 限制了 $query ['terms'] 数组元素类型必须是整数。

参考

https://github.com/WordPress/WordPress/commit/271b1f60cd3e46548bd8aeb198eb8a923b9b3827

https://cognn.medium.com/sql-injection-in-wordpress-core-zdi-can-15541-a451c492897

https://www.wangan.com/p/7fy7fge221c7608a

本文章仅供学习使用。由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。

举报

相关推荐

0 条评论