漏洞说明
Easy Digital Downloads 插件版本 3.1.1.4.1 及以下版本中发现了一个权限升级漏洞 (CVE-2023-30869)。该安全漏洞的 CVSS 评分为 9.8,表明其严重性。。该漏洞允许任何用户,无论其身份验证和授权状态如何,都可以执行使用前缀“edd_”注册的任何操作。此前缀存在于负责密码重置的方法中,使攻击者能够为任何用户(包括管理员)重置密码,只要他们知道目标用户名。
漏洞复现
漏洞分析
根据补丁对比,发现修改了lost-password.php文件
在文件中发现了以下的函数edd_validate_password_reset
注册action为edd_user_reset_password
这里需要找到一个调用action的地方,通过fuzz和全局搜索,发现了admin-actions.php中会调用edd开头的action,通过get或者post的方法传入
此方法在admin_init钩子触发的时候调用,全局搜索,发现以下php请求的时候会调用此钩子
ok找到了触发点,任意选择一个,接下来根据方法,填充合适的参数,触发漏洞
(1)pass1
(2)pass2
(3)user_login
(4)edd_redirect
这里的get_user_by()方法,跟踪发现,会通过传入的参数user_login去获取到对应的用户信息,导致权限绕过修改任意用户密码
原文始发于微信公众号(e0m安全屋):wordpress Easy Digital Downloads 插件 任意密码重置分析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论