WordPress是著名的開源CMS(內容管理)系統。近日，在4.0版本以下的Wordpress被發現存在跨站腳本漏洞(XSS)，新版本的Wordpress已經修復了這些問題。為了安全起見，建議站長們盡早更新到WP新版本。

[[123340]]

該漏洞是由芬蘭IT公司Klikki Oy的CEO Jouko Pynnonen發現的，只存在于Wordpress4.0以下的版本中。據調查得知全球有86%的Wordpress網站都感染了這一漏洞，也就意味著全球數百萬的網站都存在著潛在的危險。一些知名網站也使用了Wordpress軟件，如Time、UPS、NBC Sports、CNN等。

漏洞概述

WordPress中存在一系列的跨站腳本漏洞，攻擊者利用跨站腳本偽造請求以欺騙用戶更改登錄密碼，或者盜取管理員權限。

如Jouko Pynnonen解釋道：

當博客管理員查看評論時，評論中的漏洞代碼會自動在其Web瀏覽器上運行。然后惡意代碼會偷偷接管管理員賬戶，從而執行管理員操作。

為了證明他們的觀點，研究人員創建了一個漏洞利用程序(exploits)。利用這個exploits，他們創建了一個新的WordPress管理員賬戶，改變了當前管理員密碼，并在服務器上執行了攻擊PHP代碼。

漏洞分析

問題出在wordpress的留言處，通常情況下留言是允許一些html標簽的，比如、、等等，然而標簽中有一些屬性是在白名單里的，比如標簽允許href屬性，但是onmouseover屬性是不允許的。

但是在一個字符串格式化函數wptexturize()上出現了問題，這個函數會在每一個留言上執行，函數的功能是把當前的字符轉義成html實體，比如把“”轉義為“”。為了防止干擾html格式，wptexturize()首先會以html標簽為標準把文本分成若干段，除了html標簽，還有方括號標簽比如[code]。分割的功能是由下列正則表達式完成的。

在wp-includes/formatting.php代碼的第156行：

$textarr = preg_split('/(<.*>|\[.*\])/Us', $text, -1,

PREG_SPLIT_DELIM_CAPTURE);

但是如果文章中混合著尖括號<>和方括號[]會造成轉義混淆，導致部分代碼沒有轉義。

攻擊者可以通過這個漏洞在允許的HTML標簽中注入樣式參數形成XSS攻擊，比如通過建立一個透明的標簽覆蓋窗口，捕捉onmouseover事件。

漏洞利用測試

以下代碼可以用于測試

[<a href="test" title="]"></a>[" <!-- onmouseover=alert(/v587/)//><!-- -->NOT VULNERABLE<a></a>] 

修復建議

這一漏洞很容易被攻擊者利用，WordPress官方建議用戶盡快更新補丁，而在新版WordPress 4.0.1已經修復了所有的漏洞。

WordPress官方于11月20日發布了官方補丁，目前大多數的WordPress網站上都會收到補丁更新提醒通知;如果有一些其他原因使得你無法更新補丁，Klikki Oy公司還提供了另外一個解決方案(workaround)可以修復該漏洞。

wptexturize可以通過在wp-includes/formatting.php開頭增加一個返回參數避免這個問題

function wptexturize($text) {

return $text; // ADD THIS LINE

global $wp_cockneyreplace;

額外提醒

如果你使用的是WP-Statistics WordPress插件，你也應該更新補丁。因為這些插件上也存在跨站腳本漏洞，攻擊者同樣可以實施攻擊。

參考來源http://www.net-security.org，http://seclists.org/bugtraq/2014/Nov/113