Gravatar de Armonth

Inyección de código en WordPress 2.3.1

Publicado el Lunes 10 de Diciembre del 2007 @ 22:17 por Armonth.

Actualización: Masiosare apunta a que el bug ha sido descartado ya que el parámetro $p pasa por un int(). Antes me tomaba cualquier nota de BlogSecurity como “a menudo alarmista” pero después de esto y alguna otra cosa más han perdido mucha de la credibilidad que pudieran conservar para mí.

El fallo queda de momento, y a falta de un PoC que funcione correctamente, como un posible (y dudoso) problema de revelación de información.

Se ha descubierto un fallo importante en WordPress 2.3.1 que permite inyecciones SQL al añadir el parámetro &p= en una dirección de feed RSS2, el enlace ofrece como prueba de concepto:

http://localhost/path_to_wordpress/?feed=rss2&p=11/**/union/**/select/**/concat(
user_password,char(100),username),
2/**/from/**/wp_users/**/where/**/user_id=1/*

De momento no hay parche, al menos que yo sepa, la única solución pasa por usar algo tipo mod_security y reglas especificas. Se me ocurre (aunque reconozco que habría que probarlo) algo tipo:

<IfModule mod_security.c>
SecFilterEngine On
SecFilterCheckURLEncoding On

SecFilter "\?feed=rss2\&p="

Como ya digo, no estoy seguro que esto funcione, ahora mismo tengo problemas para hacer funcionar el LAMP y el tiempo muy pero que muy limitado para hacer pruebas. Se agradece cualquier tipo de corrección o solución alternativa.

, ,

6 Comentarios (feed)

  1. Gravatar de Masiosare Masiosare nos comenta:

    La vulnerabilidad no es tal. Se retiro este anuncio porque el parametro $p pasa por un (int) convirtiéndolo en entero, por lo que no se puede explotar.

    http://www.securityfocus.com/archive/1/484626

    Lunes, 10 de Diciembre/2007 @ 23:49

  2. Gravatar de Armonth Armonth nos comenta:

    Editado los comentarios (para eso estoy yo :D) y añado nota aclaratoria…

    Martes, 11 de Diciembre/2007 @ 0:00

  3. Gravatar de Gura Gura nos comenta:

    Yo lo probé y no pareció funcionar, sin decir que el id de mis usuarios es 1, y el prefix no es el por defecto.

    Martes, 11 de Diciembre/2007 @ 10:19

  4. Gravatar de Neofito Neofito nos comenta:

    cachis, pense que iba a tener que liarla arreglando mi primer bug…xD bueno sera por bugs

    Miércoles, 12 de Diciembre/2007 @ 0:52

  5. Gravatar de g30rg3_x g30rg3_x nos comenta:

    Buene deje un comentario por aqui, creo que no paso los filtros y se fue directito a Spam…
    Si lo encuentras por ahi, editame este comment armonth y pon ese…
    En resumen decia casi lo mismo que:
    http://www.buayacorp.com/archivos/inyeccion-de-sql-en-wordpress/#comment-25339

    Saludos

    Jueves, 13 de Diciembre/2007 @ 8:13

  6. Gravatar de Armonth Armonth nos comenta:

    Pues es raro, pero no veo ningún mensaje tuyo en moderación g30rg3_x, si no te es molestia volver a escribirlo y si no te apetece o no tienes tiempo, el enlace ya me sirve para enterarme +/-.

    Jueves, 13 de Diciembre/2007 @ 14:18

No seas tímido, da tu opinión

Sé respetuoso con los demás, la diferencia de opiniones enriquece la discusión, los comentarios bajo ciertas circunstancias pueden ser moderados y requerir aprobación.