近期腋腮，WordPress 被曝出存在內(nèi)容注入漏洞舔琅，攻擊者利用此漏洞可越權(quán)對網(wǎng)站文章內(nèi)容進行修改。

漏洞復(fù)現(xiàn)

WordPress 是一種使用 PHP 語言開發(fā)的博客平臺途样，用戶可以在支持 PHP 和 MySQL 數(shù)據(jù)庫的服務(wù)器上架設(shè)屬于自己的網(wǎng)站土涝，也可以把 WordPress 當(dāng)作一個內(nèi)容管理系統(tǒng)（CMS）來使用毁嗦。
REST API 是 WordPress 4.7.0 版本開始默認啟用的插件，通過 REST API 可對已發(fā)布的文章執(zhí)行多個修改操作回铛，比如修改日期狗准、標(biāo)題、作者茵肃、內(nèi)容等等腔长。

漏洞原理：
通過對 WordPress 源代碼的深入剖析，發(fā)現(xiàn) REST API 文件中的權(quán)限檢查邏輯可以被繞過验残，從而形成文章任意內(nèi)容的修改漏洞捞附。

首先，在文件 /wp-includes/rest-api/endpoints/class-wp-rest-posts-controller.php 中您没，看下文章（post）的控制類鸟召，注冊了文章更新的回調(diào)函數(shù)update_item 和檢查更新權(quán)限的回調(diào)函數(shù) update_item_permissions_check：

class-wp-rest-posts-controller.php

我們跟進檢查更新權(quán)限的回調(diào)函數(shù) update_item_permissions_check：

update_item_permissions_check

第一個紅框，是根據(jù)用戶傳入的 id 參數(shù)氨鹏，使用 get_post() 函數(shù)來查找相應(yīng)的文章欧募。第二個紅框是重點，如果文章存在但是沒有權(quán)限仆抵，會返回沒有權(quán)限操作（Sorry, you are not allowed to edit this post.）跟继。也就是說，如果文章不存在镣丑，則會跳過這部分的判斷舔糖，執(zhí)行到最后的 return true，從而完成權(quán)限檢查莺匠。這里的邏輯是合理的金吗，如果用戶提供的id沒有對應(yīng)的文章，即使獲得了更改權(quán)限趣竣，也沒有可用的文章被修改摇庙。但是，這只是權(quán)限檢查階段期贫。

如果用戶提供一個特殊的 id 參數(shù)跟匆，使得在權(quán)限檢查時（update_item_permissions_check 函數(shù)）沒有對應(yīng)的文章异袄，從而獲得修改權(quán)限通砍，但在修改文章內(nèi)容（update_item 函數(shù)）時。又能找到該特殊的 id 對應(yīng)的文章，那么就可以直接修改文章的內(nèi)容了封孙。這樣的 id 參數(shù)需要滿足兩個條件：

1. 使得 get_post() 函數(shù)找不到對應(yīng)的文章
2. 使得 update_item () 函數(shù)能找到對應(yīng)的文章

這樣的 id 參數(shù)是否存在呢迹冤？看 get_post() 函數(shù)：

get_post() 函數(shù)

可以看出，只要輸入的 id 使得 get_instance() 函數(shù)返回 false虎忌，我們就會得到一個null的返回泡徙，也就是找不到對應(yīng)的文章。繼續(xù)根跟進 get_instance() 函數(shù)膜蠢，如下圖：

get_instance() 函數(shù)

這里可以清楚地看到堪藐，只要輸入的 id 參數(shù)不是純數(shù)字，就會 false挑围，從而就會使得找不到對應(yīng)的文章礁竞。再看下修改文章內(nèi)容的函數(shù) update_item：

update_item函數(shù)

紅框中的內(nèi)容是重點中的重點。這里我們需要 get_post() 函數(shù)成功執(zhí)行杉辙，找到對應(yīng)的文章模捂。而上一行的 $id = (int) $request['id'];，會把用戶輸入的id進行整數(shù)類型轉(zhuǎn)換蜘矢，保證了 get_post() 函數(shù)能夠執(zhí)行成功狂男。問題就出現(xiàn)在這個類型轉(zhuǎn)換上，只要我們提供的id參數(shù)能還換成整數(shù)即可品腹，比如 123abc岖食，進行轉(zhuǎn)換后會變成 123。
我們找到了這樣的 id 參數(shù)舞吭，從而可以實現(xiàn)繞過權(quán)限檢查县耽，修改文章任意內(nèi)容玲献。

漏洞復(fù)現(xiàn)：

下圖是默認安裝的 WordPress4.7.1汗茄，第一篇默認文章 Hello World力试，其文章 id 為 1：

文章 id 為 1

構(gòu)造數(shù)據(jù)包如下圖除抛，id 參數(shù)為 1a瓦堵，修改標(biāo)題和內(nèi)容菲嘴，都改為 Content Injection Vulnerability in WordPress：

構(gòu)造數(shù)據(jù)包

查看返回狀態(tài)碼為 200叭首，說明已經(jīng)成功修改谋梭。刷新頁面赶舆，可以看到文章已被修改哑姚。

文章已被修改

友情提示：
1、WordPress 4.7.2 版本已修復(fù)該漏洞芜茵，請前往官網(wǎng)下載升級：https://cn.wordpress.org/叙量；