漏洞公告在这:http://www.securityfocus.com/archive/1/521359/30/60/threaded
Trustwave发布的,自己官网也贴了个:https://www.trustwave.com/spiderlabs/advisories/TWSL2012-002.txt
看看最后官方的答复,认为可以忽略。Trustwave避轻就重,还赚了三个CVE,这些漏洞是有场景的:wp没安装过的情况下才可以。来一个个看下。
第一个:PHP Code Execution and Persistent Cross Site Scripting Vulnerabilities via ‘setup-config.php’ page
Trustwave说wp的安装脚本文件有安全风险,安装时可以使用攻击者自己的数据库,安装后登陆wp后台,主题编辑可以写任意PHP代码,然后远程命令执行就是这样来的。而XSS是攻击者通过修改自己数据库里的值(比如评论、文章等)为恶意的XSS脚本,然后用户访问wp就会中招。这个很好理解,只是满足这样攻击场景的太少了……所以这第一个CVE太忽悠。
第二个:Multiple Cross Site Scripting Vulnerabilities in ‘setup-config.php’ page
我写出了POC了,原理是我以前发的一篇《基于CSRF的XSS攻击》,最新的还有效(官方应该不会发布补丁),只是这个场景和第一个一样少的可怜……不过Trustwave与wp官方的重点没放在这。
第三个:MySQL Server Username/Password Disclosure Vulnerability via ‘setup-config.php’ page
暴力破解,这个前提是不是“需要wp没安装过”,我不知道,没测试。有兴趣的同学自己研究。
这次的wp漏洞一点都不精彩,现在流行的还是wp的那些插件漏洞,比较生猛!顺便说了Knownsec Team会在最近发布一个wp xss 0day,影响所有版本,不过要等官方修补之后了。尽请关注我们的官方博客:blog.knownsec.com,新版即将上线!
你知道的太多了..又发0day了啊
1
自己得动手修改下wp代码了