按 Enter 到主內容區
:::

TWCERT/CC台灣電腦網路危機處理暨協調中心|企業資安通報協處|資安情資分享|漏洞通報|資安聯盟|資安電子報

:::

WordPress 網站爆出嚴重漏洞,影響超過 10 萬個以上的網站

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2024-08-23
  • 點閱次數:1786
wordpress

GiveWP是一個WordPress 網站捐贈Plugin,可以讓網站輕鬆接受來自世界各地的捐贈,近期遭揭露重大資安漏洞(CVE-2024-5932),可以讓駭客遠端執行任意程式碼且不需要任何身分認證,並能刪除所有檔案,建議使用者應更新至3.14.2版本。

WordPress此次的漏洞是出現在GiveWP Plugin,漏洞編號為CVE-2024-5932,此漏洞在通用漏洞評分系統(CVSS)的分數為10.0(滿分),代表了漏洞的嚴重性極高。

此漏洞為PHP物件注入(PHP Object Injection),主要在 GiveWP Plugin 的 give_title 參數上,可透過注入特殊的PHP物件來觸發反序列化,而該物件跟 Plugin 裡面現有的POP 面向屬性編程鏈結合,成為遠端程式碼執行 (RCE),也就是攻擊者可不經身份驗證,就可完全控制受漏洞影響的WordPress網站。

序列化是指可將複雜的資料轉換後做儲存,反序列化即是將序列化後的資料轉換回原本的模樣,如底下是一個 PHP 序列化資料的範例

a:2:{s:12:"productPrice";s:5:"11111";s:7:"price";i:10;}

PHP 程式碼基本都是物件導向的,其中程式碼被組成「類別」,類別為包含有變數(稱為屬性)和函數(稱為方法)的模板,程式透過類別來創建物件,從而產生可重複使用和維護的程式碼,若Plugin 在沒有清理乾淨的情況下,反序列化使用者輸入的資料,則可能讓攻擊者注入惡意的內容,使其在反序列化的時候變成 PHP 物件,若反序列化出來的物件存在魔法方法 (Magic Method)時,可能會導致惡意的攻擊行為。

魔法方法(Magic Method)是類別中的特殊函數,用以定義某些事件發生時要執行的行為,如不需要物件時要如何清理、創建物件時要初始化執行的事情等。

此漏洞為資安研究員 villu164 透過Wordfence Bug漏洞賞金計畫發現並提出研究報告,鑒於此Plugin是作為捐贈和募款平台性質使用,故而攻擊可能會曝露捐贈者的敏感資料,並影響使用該Plugin組織的聲譽,建議使用者/組織應儘速更新至3.14.2版,以避免受到影響。

回頁首