0x00 漏洞概述
|
CVE ID |
CVE-2021-25094 |
发现时间 |
2022-05-16 |
|
类 型 |
RCE |
等 级 |
高危 |
|
远程利用 |
是 |
影响范围 |
|
|
攻击复杂度 |
高 |
用户交互 |
无 |
|
PoC/EXP |
是 |
在野利用 |
是 |
0x01 漏洞详情
WordPress Tatsu Builder插件是一个流行的无代码页面构建器,它提供了集成到网络浏览器中的强大模板编辑功能。
2022年5月16日,Wordfence 威胁情报团队披露了针对Tatsu Builder 插件远程代码执行漏洞(CVE-2021-25094)的大规模攻击。该漏洞的CVSS评分为8.1,可以利用该漏洞在未经身份验证的情况下无限制上传文件并实现远程代码执行。
由于3.3.12之前的Tatsu WordPress插件add_custom_font操作可以在未认证的情况下被用来上传恶意zip文件,该文件在WordPress的上传目录下没有被压缩。可以通过添加一个文件名以点"."开头的PHP shell来绕过插件中实现的扩展控制。此外,由于zip 提取过程中存在竞争条件,使得 shell 文件在文件系统上的存在时间较长,而可以被调用。该漏洞的细节及其PoC已于2022 年3 月被公开披露。
Wordfence研究人员表示,该插件的安装量在 20,000 - 50,000 之间,且其客户在5月遭受了针对此漏洞的数百万次攻击,攻击者试图在 wp-content/uploads/typehub/custom/目录的子文件夹中注入恶意软件dropper,并使其成为隐藏文件。该dropper名为".sp3ctra_XO.php",其MD5哈希值为3708363c5b7bf582f8477b1c82c8cbf8。
根据Wordfence的报告,超过百万次的攻击仅来自三个IP地址:148.251.183[.]254、176.9.117[.]218和217.160.145[.]62,建议使用WordPress Tatsu Builder插件的网站管理员将这些IP添加到黑名单(不稳定)并及时更新到最新版本。
影响范围
Wordpress Tatsu Builder 插件版本< 3.3.12
0x02 安全建议
目前此漏洞已经修复,建议受影响用户升级更新到Tatsu Builder 插件最新版本3.3.13。
下载链接:
https://tatsubuilder.com/
注:3.3.12版本包含部分补丁,但并未完全修复。
0x03 参考链接
https://www.wordfence.com/blog/2022/05/millions-of-attacks-target-tatsu-builder-plugin/
https://darkpills.com/wordpress-tatsu-builder-preauth-rce-cve-2021-25094/
https://www.bleepingcomputer.com/news/security/hackers-target-tatsu-wordpress-plugin-in-millions-of-attacks/
0x04 版本信息
|
版本 |
日期 |
修改内容 |
|
V1.0 |
2022-05-18 |
首次发布 |
0x05 附录
原文始发于微信公众号(维他命安全):【漏洞通告】WordPress Tatsu Builder插件远程代码执行漏洞(CVE-2021-25094)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论