該漏洞是由芬蘭IT公司Klikki Oy的CEO Jouko Pynnonen發(fā)現(xiàn)的，只存在于Wordpress4.0以下的版本中。據(jù)調(diào)查得知全球有86%的Wordpress網(wǎng)站都感染了這一漏洞，也就意味著全球數(shù)百萬的網(wǎng)站都存在著潛在的危險(xiǎn)。一些知名網(wǎng)站也使用了Wordpress軟件，如Time、UPS、NBC Sports、CNN、Techcrunch 和FreeBuf:）

漏洞概述

WordPress中存在一系列的跨站腳本漏洞，攻擊者利用跨站腳本偽造請(qǐng)求以欺騙用戶更改登錄密碼，或者盜取管理員權(quán)限。

如Jouko Pynnonen解釋道：

當(dāng)博客管理員查看評(píng)論時(shí)，評(píng)論中的漏洞代碼會(huì)自動(dòng)在其Web瀏覽器上運(yùn)行。然后惡意代碼會(huì)偷偷接管管理員賬戶，從而執(zhí)行管理員操作。

為了證明他們的觀點(diǎn)，研究人員創(chuàng)建了一個(gè)漏洞利用程序（exploits）。利用這個(gè)exploits，他們創(chuàng)建了一個(gè)新的WordPress管理員賬戶，改變了當(dāng)前管理員密碼，并在服務(wù)器上執(zhí)行了攻擊PHP代碼。

漏洞分析

問題出在wordpress的留言處，通常情況下留言是允許一些html標(biāo)簽的，比如、、等等，然而標(biāo)簽中有一些屬性是在白名單里的，比如標(biāo)簽允許href屬性，但是onmouseover屬性是不允許的。

但是在一個(gè)字符串格式化函數(shù)wptexturize()上出現(xiàn)了問題，這個(gè)函數(shù)會(huì)在每一個(gè)留言上執(zhí)行，函數(shù)的功能是把當(dāng)前的字符轉(zhuǎn)義成html實(shí)體，比如把“”轉(zhuǎn)義為“”。為了防止干擾html格式，wptexturize()首先會(huì)以html標(biāo)簽為標(biāo)準(zhǔn)把文本分成若干段，除了html標(biāo)簽，還有方括號(hào)標(biāo)簽比如[code]。分割的功能是由下列正則表達(dá)式完成的。

在wp-includes/formatting.php代碼的第156行：

$textarr = preg_split('/(<.*>|\[.*\])/Us', $text, -1,                         

PREG_SPLIT_DELIM_CAPTURE);

但是如果文章中混合著尖括號(hào)<>和方括號(hào)[]會(huì)造成轉(zhuǎn)義混淆，導(dǎo)致部分代碼沒有轉(zhuǎn)義。

攻擊者可以通過這個(gè)漏洞在允許的HTML標(biāo)簽中注入樣式參數(shù)形成XSS攻擊，比如通過建立一個(gè)透明的標(biāo)簽覆蓋窗口，捕捉onmouseover事件。

漏洞利用測(cè)試

以下代碼可以用于測(cè)試

[<a href="test" title="]">[" NOT VULNERABLE]

修復(fù)建議

這一漏洞很容易被攻擊者利用，WordPress官方建議用戶盡快更新補(bǔ)丁，而在新版WordPress 4.0.1已經(jīng)修復(fù)了所有的漏洞。

WordPress官方于11月20日發(fā)布了官方補(bǔ)丁，目前大多數(shù)的WordPress網(wǎng)站上都會(huì)收到補(bǔ)丁更新提醒通知；如果有一些其他原因使得你無法更新補(bǔ)丁，Klikki Oy公司還提供了另外一個(gè)解決方案（workaround）可以修復(fù)該漏洞。

wptexturize可以通過在wp-includes/formatting.php開頭增加一個(gè)返回參數(shù)避免這個(gè)問題：

function wptexturize($text) {        

return $text;                  // ADD THIS LINE        

global $wp_cockneyreplace;

額外提醒

如果你使用的是WP-Statistics WordPress插件，你也應(yīng)該更新補(bǔ)丁。因?yàn)檫@些插件上也存在跨站腳本漏洞，攻擊者同樣可以實(shí)施攻擊。

最新評(píng)論