The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Уязвимость, позволяющая получить контроль над WordPress через форму сброса пароля

04.05.2017 22:33

В системе управления web-контентом WordPress выявлена уязвимость (CVE-2017-8295), позволяющая получить контроль над аккаунтом через манипуляции с формой сброса пароля. В частности, атакующий может без прохождения необходимой аутентификации организовать отправку владельцу аккаунта письма с кодом сброса пароля и подконтрольным email в поле отправителя (From/Return-Path). Несмотря на то, что информация об уязвимости несколько раз отправлялась разработчикам WordPress (первое уведомление было отправлено летом прошлого года), проблема до сих пор остаётся неисправленной и проявляется во всех версиях WordPress, включая самый свежий выпуск 4.7.4.

Возможность подстановки своего значения email отправителя вызвано тем, что WordPress формирует содержимое полей From и Return-Path на основе переменной $_SERVER['SERVER_NAME'], значение которой на большинстве http-серверов формируется на основе HTTP-заголовка "Host:", который передаётся во время запроса. Если сайт на базе WordPress является основным хостом в конфигурации http-сервера, то атакующий может отправить запрос к форме сброса пароля подставив в "Host:" имя подконтрольного домена, который будет использован в составе адреса отправителя (wordpress@домен).

Для того чтобы получить код ссылки для сброса email необходимо, чтобы письмо, отправленное владельцу аккаунта, было перенаправлено по адресу отправителя. Например, можно организовать DoS-атаку на почтовый сервер пользователя и, отправив порцию крупных писем, добиться переполнения его почтового ящика или превышения квоты. В условиях когда ящик переполнен, сообщение с кодом сброса пароля будет возвращено отправителю с уведомлением о невозможности доставки. Ещё одним вариантом является проведение атаки на пользователей, которые пользуются автоответчиками. Атакующему достаточно дождаться, когда будет активирован автоответчик (например, пользователь уедет в отпуск или командировку) и инициировать отправку письма с кодом сброса пароля, которое вернётся по адресу отправителя с уведомлением от автоответчика.

  1. Главная ссылка к новости (http://openwall.com/lists/oss-...)
  2. OpenNews: Уязвимость в Squirrelmail, позволяющая удалённо выполнить код на сервере
  3. OpenNews: В PHPMailer выявлена ещё одна критическая уязвимость, вызванная недоработкой в PHP
  4. OpenNews: Критическая уязвимость в PHPMailer, применяемом в WordPress, Drupal и Joomla
  5. OpenNews: Root-уязвимость из-за некорректных настроек в пакете nginx для Debian и Ubuntu
  6. OpenNews: Уязвимость в MySQL, позволяющая поднять свои привилегии
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/46499-wordpress
Ключевые слова: wordpress
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (16) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Alex_K (??), 23:00, 04/05/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    В Apache $_SERVER['SERVER_NAME'] соответствует значению, указанному в директиве ServerName виртуального хоста Apache. Подменить его через манипуляцию с заголовком Host нельзя (для этого существует $_SERVER['HTTP_HOST']).
     
     
  • 2.2, Аноним (-), 23:03, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Это только когда выставлена директива "UseCanonicalName On", а по умолчанию ставится "UseCanonicalName Off".
     
  • 2.4, Alex_K (??), 23:06, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Был не прав. При UseCanonicalName = Off (по умолчанию), в $_SERVER['SERVER_NAME'] окажется заголовок Host.
     
     
  • 3.5, Alex_K (??), 23:12, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Но по факту в условиях виртуального хостинга уязвимость сложно эксплуатировать. Нужно, чтобы атакуемый сайт был первым виртуальным хостом (иначе запрос с поддельным Host не пройдет до нужного сайта).
     

  • 1.3, Аноним (-), 23:04, 04/05/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Обновлений пока нету и это хорошо, не нужно будет завтра тратить на это время
     
  • 1.6, freehck (ok), 23:40, 04/05/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Итак, для атаки надо:
    1) Чтобы обращение к любому домену шло на этот WordPress
    2) Узнать заранее почтовый адрес жертвы (или хотя бы его домен)
    3) Устроить на его почтовый сервер DoS-атаку

    Недешёвая должна быть жертва. :)

     
     
  • 2.7, Elhana (ok), 23:55, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    И еще чтобы был настроен баунс, который к тому же тело письма возвращает - рай для спамеров, а не почтовый сервер.
     
     
  • 3.10, nikosd (ok), 08:04, 05/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    не смотрел на форму восстановления паролей WP( где  там ссылка), но  80%   серверов  возвращают первые  несколько  килобайт письма. А про ценность жертвы -
    сложное условие только "быть первым на хосте"
     
     
  • 4.17, angra (ok), 07:50, 06/05/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Где же ты находишь таких непуганных? Большая часть не возвращает вообще ничего, так как вместо баунсов выдает отлуп еще во время smtp сессии.
     
  • 2.14, Аноним (-), 10:35, 05/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    По ссылке к новости сходить было бы полезно. Там готовый рецепт установить "Reverse Shell" используя эту уязвимость.
     
  • 2.18, Аноним (-), 12:43, 10/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Блин а если его почтовый сервер gmail то с DDOS-ом могут быть большие проблемы :)
     

  • 1.11, тоже Аноним (ok), 08:06, 05/05/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Огород, защищенный заборчиком из штакетника, оказался уязвим к подкопу. Ужас.
     
     
  • 2.16, анон (?), 15:56, 05/05/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Огород, защищенный заборчиком из штакетника, оказался уязвим к подкопу. Ужас.

    Ну, к подкопу уязвим даже огород, защищенный бетонным четырехметровым забором. Ужас, конечно. Разве что бетон еще и вглубь метров на шесть... Но ведь о глубине подкопа то ничего не сказано.

     

  • 1.12, Аноним (-), 09:38, 05/05/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Дырявое ведро. Ни одна другая CMS не имеет столько дыр.
     
     
  • 2.15, Аноним (-), 13:22, 05/05/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Дырявое ведро. Ни одна другая CMS не имеет столько дыр.

    joomla

     

  • 1.13, Аноним (-), 10:25, 05/05/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    язвимость в WordPress? Это уже не новость...
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру