В системе управления web-контентом WordPress  выявлена уязвимость (https://exploitbox.io/vuln/WordPress-Exploit-4-7-Unauth-Pass...) (CVE-2017-8295 (https://security-tracker.debian.org/tracker/CVE-2017-8295)), позволяющая получить контроль за аккаунтом через манипуляции с формой сброса пароля. В частности, атакующий может без прохождения необходимой аутентификации организовать отправку владельцу аккаунта письма с кодом сброса пароля и подконтрольным email в поле отправителя (From/Return-Path).  Проблема пока остаётся неисправленной и проявляется во всех версиях WordPress, включая самый свежий выпуск 4.7.4.

Возможность подстановки своего значения email отправителя вызвано тем, что WordPress формирует содержимое полей From и Return-Path на основе
переменной $_SERVER['SERVER_NAME'], значение которой на большинстве http-серверов формируется на основе HTTP-заголовка "Host:", который передаётся во время запроса. Если сайт на базе WordPress является основным хостом в конфигурации http-сервера, то атакующий может отправить запрос к форме сброса пароля подставив в "Host:" имя подконтрольного домена, который будет использован в составе
адреса отправителя (wordpress@домен).

Для того чтобы получить код ссылки для сброса email необходимо, чтобы письмо, отправленное владельцу аккаунта, было перенаправлено по адресу отправителя. Например, можно организовать DoS-атаку на почтовый сервер пользователя и, отправив порцию крупных писем, добиться переполнения его почтового ящика или превышения квоты. В условиях когда ящик переполнен, сообщение с кодом сброса пароля будет возвращено отправителю с уведомлением о невозможности доставки. Ещё одним вариантом является проведение атаки на пользователей, которые пользуются автоответчиками. Атакующему достаточно дождаться, когда  будет активирован автоответчик (например, пользователь уедет в отпуск или командировку) и инициировать отправку письма с кодом сброса пароля, которое вернётся по адресу отправителя с уведомлением от автоответчика.

URL: http://openwall.com/lists/oss-security/2017/05/03/13
Новость: http://www.opennet.me/opennews/art.shtml?num=46499

• Уязвимость, позволяющая получить контроль за WordPress через...,Alex_K, 23:00 , 04-Май-17
  • Уязвимость, позволяющая получить контроль за WordPress через...,Аноним, 23:03 , 04-Май-17
  • Уязвимость, позволяющая получить контроль за WordPress через...,Alex_K, 23:06 , 04-Май-17
    • Уязвимость, позволяющая получить контроль за WordPress через...,Alex_K, 23:12 , 04-Май-17
• Уязвимость, позволяющая получить контроль за WordPress через...,Аноним, 23:04 , 04-Май-17
• Уязвимость, позволяющая получить контроль за WordPress через...,freehck, 23:40 , 04-Май-17
  • Уязвимость, позволяющая получить контроль за WordPress через...,Elhana, 23:55 , 04-Май-17
    • Уязвимость, позволяющая получить контроль за WordPress через...,nikosd, 08:04 , 05-Май-17
      • Уязвимость, позволяющая получить контроль за WordPress через...,angra, 07:50 , 06-Май-17
  • Уязвимость, позволяющая получить контроль за WordPress через...,Аноним, 10:35 , 05-Май-17
  • Уязвимость, позволяющая получить контроль за WordPress через...,Аноним, 12:43 , 10-Май-17
• Уязвимость, позволяющая получить контроль над WordPress чере...,тоже Аноним, 08:06 , 05-Май-17
  • Уязвимость, позволяющая получить контроль над WordPress чере...,анон, 15:56 , 05-Май-17
• Уязвимость, позволяющая получить контроль над WordPress чере...,Аноним, 09:38 , 05-Май-17
  • Уязвимость, позволяющая получить контроль над WordPress чере...,Аноним, 13:22 , 05-Май-17
• Уязвимость, позволяющая получить контроль над WordPress чере...,Аноним, 10:25 , 05-Май-17

В Apache $_SERVER['SERVER_NAME'] соответствует значению, указанному в директиве ServerName виртуального хоста Apache. Подменить его через манипуляцию с заголовком Host нельзя (для этого существует $_SERVER['HTTP_HOST']).

Это только когда выставлена директива "UseCanonicalName On", а по умолчанию ставится "UseCanonicalName Off".

Был не прав. При UseCanonicalName = Off (по умолчанию), в $_SERVER['SERVER_NAME'] окажется заголовок Host.

Но по факту в условиях виртуального хостинга уязвимость сложно эксплуатировать. Нужно, чтобы атакуемый сайт был первым виртуальным хостом (иначе запрос с поддельным Host не пройдет до нужного сайта).

Обновлений пока нету и это хорошо, не нужно будет завтра тратить на это время

Итак, для атаки надо:
1) Чтобы обращение к любому домену шло на этот WordPress
2) Узнать заранее почтовый адрес жертвы (или хотя бы его домен)
3) Устроить на его почтовый сервер DoS-атаку

Недешёвая должна быть жертва. :)

И еще чтобы был настроен баунс, который к тому же тело письма возвращает - рай для спамеров, а не почтовый сервер.

не смотрел на форму восстановления паролей WP( где  там ссылка), но  80%   серверов  возвращают первые  несколько  килобайт письма. А про ценность жертвы -
сложное условие только "быть первым на хосте"

Где же ты находишь таких непуганных? Большая часть не возвращает вообще ничего, так как вместо баунсов выдает отлуп еще во время smtp сессии.

По ссылке к новости сходить было бы полезно. Там готовый рецепт установить "Reverse Shell" используя эту уязвимость.

Блин а если его почтовый сервер gmail то с DDOS-ом могут быть большие проблемы :)

Огород, защищенный заборчиком из штакетника, оказался уязвим к подкопу. Ужас.

> Огород, защищенный заборчиком из штакетника, оказался уязвим к подкопу. Ужас.

Ну, к подкопу уязвим даже огород, защищенный бетонным четырехметровым забором. Ужас, конечно. Разве что бетон еще и вглубь метров на шесть... Но ведь о глубине подкопа то ничего не сказано.

Дырявое ведро. Ни одна другая CMS не имеет столько дыр.

> Дырявое ведро. Ни одна другая CMS не имеет столько дыр.

joomla

язвимость в WordPress? Это уже не новость...