LegalHackersのセキュリティ研究者であるDawidGolunskiが、WordPressコアの不正なパスワードリセットの脆弱性の詳細を公開しました。 Golunskiは、特定の状況下で、攻撃者がパスワードリセットの電子メールを傍受してユーザーのアカウントにアクセスする方法を示しました。
コンセプトの証明は、変数を使用してワードプレスを活用します SERVER_NAME サーバーのホスト名を取得してヘッダーを作成します /リターンパスから 送信パスワードのリセット電子メール。
Apacheなどの主要なWebサーバーは、クライアントから提供されたホスト名(HTTP_HOSTヘッダー内)を使用して、デフォルトでSERVER_NAME変数を設定します。
Https://httpd.apache.org/docs/2.4/mod/core.html#usecanonicalname
SERVER_NAMEは変更できるため、攻撃者は自分の選択した任意のドメインで構成できます。次に例を示します。
Attackers-mxserver.com
WordPressに$ from_email設定を与える
そのため、その悪意のあるアドレスにReturn / Return-Pathパスを持つ送信メールが発生します。
この特定の攻撃の結果は、サーバー環境、メールサーバーの特定の構成によって異なり、場合によってはユーザーの操作が必要になります。 Golunskiのレポートには、使用できる可能性のある方法のより具体的な内訳が含まれています。
2016 年 XNUMX 月に WordPress セキュリティ チームに問題を報告した後、 サイトのWeb HackerOne、Golunski は進展が見られず、 出版します 脆弱性の詳細を公開します。
公式のパッチはまだありませんが、WordPressのセキュリティスターであるAaron Campbellは、この問題はそれほど深刻ではないと述べています。
« これは優先度の低い問題ですが、私たちはそれを認識しており、キューにあります「キャンベルは言った。 彼は、これが深刻な脆弱性であるために必要となる一連の固有の条件について説明しました。
« この問題がセキュリティに影響を与えるには、サーバーがユーザー指定のヘッダーのオーバーライドを許可する必要があります $ _SERVER ['SERVER_NAME']「キャンベルは言った。 「サーバーの構成が不十分であると考えています(実稼働サーバーに該当する場合は「display_errors」など)。これは残念ながら私たちの制御が及ばないものです。」
Campbellは彼の個人的なApacheおよびnginxサーバーをテストしましたが、これらのいずれもこれについてライセンスされていません。 キャンベルは、サーバーの構成が誤っていることに加えて、次のいずれかのアクションも発生する必要があると述べました。
- ユーザーはパスワードリセットメールに返信する必要があります
- 自動返信はメールに返信し、元の内容を含める必要があります
- 電子メール サーバーが危険にさらされるか過負荷になると、メッセージが送信者に返されます。 コンテンツ インタクト
« サーバーが脆弱で、サーバー構成を修正する機能がない場合でも、問題を軽減するためにWordPressファイルに変更を加える必要はありません。「キャンベルは言った。 「プラグインでこのようなPHPを少し使用すると、選択した静的な電子メールアドレスが定義されます。」
add_filter( 'wp_mail_from'、function($ from_email){return '[メール保護]「; });
キャンベル氏によると、WordPressがカーネルに加える変更は、セキュリティの観点から現在問題を追跡しているチケットを通じて行われる可能性が高いとのことです。 彼は、次のセキュリティリリースで修正が行われる可能性は低いと述べましたが、チームは積極的に取り組んでいます。 彼らが問題の良い緩和策を見つけた場合、キャンベルは、潜在的な影響を乗り越えたらそれを共有すると述べた。
あなたも ? この脆弱性についてどう思いますか?
